Elődjénél agresszívebben terjedő Netsky féregvírus

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy:
. Correction
. Hurts
. Privacy
. Password
. Wow
. Criminal
. Pictures
. Text
. Money
. Stolen
. Found
. Numbers
. Funny
. Only love?
. More samples
. Picture
. Letter
. Question
. Illegal

Tartalom: az alábbiak közül egy:
. Please use the font arial!
. How can I help you?
. Still?
. I´ve your password. Take it easy!
. Why do you show your body?
. Hey, are you criminal?
. Your pictures are good!
. The text you sent to me is not so good!
. True love letter?
. Do you have no money?
. Do you have asked me?
. I´ve found your creditcard. Check the data!
. Are your numbers correct?
. You have no chance…
. Wow! Why are you so shy?
. Do you have more samples?
. Do you have more photos about you?
. Do you have written the letter?
. Does it hurt you?
. Please do not sent me your illegal stuff again!!!

Csatolmány: egy PIF kiterjesztésű állomány

A féreg paraméterei

Felfedezésének ideje: 2004. április 27.
Utolsó frissítés ideje: 2004. április 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 17.920 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba csrss.exe néven
– hozzáadja a BagleAV=[Windows elérési útvonala]/csrss.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a S-k-y-n-e-t–A-n-t-i-v-i-r-u-s-T-e-a-m ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– letörli a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcs következő két értékét:
. drvsys.exe=[Windows elérési útvonala]/drvsys.exe
. ssgrate.exe=[Windows elérési útvonala]/ssgrate.exe
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre
– önmaga elküldésére az alapértelmezett DNS szervert használja fel, hogy megszerezze az e-mailszerver IP-címét; amennyiben ez nem sikerülne, a benne előre eltárolt címek valamelyikét próbálja ki