Saját működését leállítani képes féregvírus

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím

Tárgy: az alábbiak közül egy:
– Re: Msg reply
– Re: Hello
– Re: Yahoo!
– Re: Thank you!
– Re: Thanks 🙂
– RE: Text message
– Re: Document
– Incoming message
– Re: Incoming Message
– RE: Incoming Msg
– RE: Message Notify
– Notification
– Changes..
– Update
– Fax Message
– Protected message
– RE: Protected message
– Forum notify
– Site changes
– Re: Hi
– Encrypted document

Tartalom: ha a csatolmány ZIP file, a következők egyike:
. For security reasons attached file is password protected. The password is
. For security purposes the attached file is password protected. Password —
. Note: Use password
. Attached file is protected with the password for security reasons. Password is
. In order to read the attach you have to use the following password:
. Archive password:
. Password
. Password:

Ellenkező esetben az alábbiak közül egy:
– Read the attach.
– Your file is attached.
– More info is in attach
– See attach.
– Please, have a look at the attached file.
– Your document is attached.
– Please, read the document.
– Attach tells everything.
– Attached file tells everything.
– Check attached file for details.
– Check attached file.
– Pay attention at the attach.
– See the attached file for details.
– Message is in attach
– Here is the file.

Csatolmánynév:
– Information
– Details
– text_document
– Updates
– Readme
– Document
– Info
– MoreInfo
– Message

Csatolmány kiterjesztés: .hta, .vbs, .exe, .scr, .com, .cpl, .zip (jelszóvédett)

A féreg paraméterei

Felfedezésének ideje: 2004. július 22.
Utolsó frissítés ideje: 2004. július 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 16 KB
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti a jobboldalt látható álhibaüzenetet
– hét mutexet hoz létre, ezzel akadályozandó meg az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból az alábbi értékeket (ha azok ott léteznek):
. My AV
. Zone Labs Client Ex
. 9XHtProtect
. Antivirus
. Special Firewall Service
. service
. Tiny AV
. ICQNet
. HtProtect
. NetDy
. Jammer2nd
. FirewallSvr
. MsInfo
. SysMonXP
. EasyAV
. PandaAVEngine
. Norton Antivirus AV
. KasperskyAVEng
. SkynetsRevenge
. ICQ Net
– létrehozza a következő állományokat a System könyvtárban (melyek a féreg egy-egy másolatát tartalmazzák):
. FUKULAMER.exe
. FUKULAMER.exeopen
. FUKULAMER.exeopenopenopen (JPEG, GIF vagy BMP állomány)
. FUKULAMER.exeopenopenopenopen
– ugyanitt létrehozza a FUKULAMER.exeopenopen file-t, ami vagy ZIP vagy CPL vagy VBS vagy HTA formátumú lehet
. ha .zip kiterjesztésű, akkor két véletlenszerűen elnevezett állományt tartalmaz (az egyik egy .exe, a másik egy szöveges file lesz, .sys, .dat, .idx, .vxd, .vid, vagy .dll kiterjesztéssel)
. amennyiben .cpl kiterjesztésű, akkor ha ez lefuttatásra kerül, létrehozza a cplstub.exe állományt a Windows könyvtárban
. ha .vbs kiterjesztésű, akkor az aktuális könyvtárban létrehozza a vss_2.exe állományt
. ha .hta az adott file kiterjesztése, akkor az létrehozza a qwrk.exe állományt az aktuális könyvtárban
– létrehozza a reg_key=[System elérési útvonala]/FUKULAMER.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcsban, így a féreg minden Windows bootoláskor elindul
– amennyiben a rendszerdátum 2005. január 25-e utáni, a féreg kitörli a rendszerleíró adatbázisból saját bejegyzéseit és önmagát a memóriából
– hátsó kaput hoz létre a rendszeren a 1234-es TCP port megnyitásával, így a fertőzött számítógép később e-mail relay-ként használható
– megkísérel önmagáról másolatokat létrehozni minden olyan könyvtárba, amelyiknek a neve tartalmazza a shar sztringet; ehhez az alábbi, figyelemfelkeltő nevek közül válogat:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Kaspersky Antivirus 5.0
. KAV 5.0
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno pics arhive, xxx.exe
. Porno Screensaver.scr
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe
. XXX hardcore images.exe
– e-mailcímeket keres különböző állományokban, majd saját SMTP-motorja révén minden kontakt számára továbbítja magát