Máris továbbfejlődött az internetes keresőket megbénító féregvírus

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
– say helo to my litl friend
– click me baby, one more time
– hello
– hi
– error
– status
– test
– report
– delivery failed
– Message could not be delivered
– Mail System Error – Returned Mail
– Delivery reports about your e-mail
– Returned mail: see transcript for details
– Returned mail: Data format error

Tartalom: egy több elemű listából választ egyet

Csatolmány: egy bat, cmd, com, exe, pif vagy scr kiterjesztésű állomány, aminek második csatolmánya is lehet (doc, txt, htm, html); a file az alábbi nevek egyikén érkezhet:
– readme
– instruction
– transcript
– mail
– letter
– file
– text
– attachment
– document
– message

A csatolmány azonban képződhet a címzett e-mailcímének domainnevéből is; egy példa: ha valaki@domain.com címre érkezik a levél, akkor a csatolmány lehet domain.com nevű is. Az esetek 30 százalékában betömörítve, ZIP formátumban érkezik, ez esetben többszörösen be van csomagolva.

A féreg paraméterei

Felfedezésének ideje: 2004. július 29.
Utolsó frissítés ideje: 2004. július 30.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 35.328 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a következő két Registry kulcsot:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Daemon
. HKEY_CURRENT_USER/Software/Microsoft/Daemon
– bemásolja magát java.exe néven a Windows könyvtárba
– létrehozza a services.exe file-t ugyanitt, amely voltaképp a Backdoor.Zincite.A nevű trójai program; amikor ez lefuttatásra kerül, megnyitja a 1034-es TCP portot, s ezen keresztül későbbi fertőzéseknek nyit kaput, illetve maga is megfertőzhető PC-k után kutat, véletlenszerű IP-címeken
– hozzáadja a Services=[Windows elérési útvonala]/services.exe és a a JavaVM=[Windows elérési útvonala]/java.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunRegistry kulcshoz
– létrehoz egy véletlenszerű nevet viselő .log és egy zincite.log nevű állományt logolási célokra a Temporary mappában
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .adb, .asp, .dbx, .ht*, .php, .pl, .sht, .tbb, .tx*, .wab
– további e-mailcímekhez próbál jutni a következő internetes keresőmotorok használatával:
. search.lycos.com
. search.yahoo.com
. www.altavista.com
. www.google.com
– a fent ismertetett karakterisztikában továbbítja e-mailen magát saját SMTP-motorja révén; kivéve bizonyos sztringeket tartalmazó címeket, néhány példa:
. .gov
. .mil
. abus
. accoun
. admi
. anyone
. arin.
. avp
. bar.
. bug
. contact
. crosoft
. domain
. example
. feste
. foo.
. gmail