Jelszóvédett féregvírus

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím

Tárgy: üres, vagy az alábbiak egyike:
• Re: Msg reply
• Re: Hello
• Re: Yahoo!
• Re: Thank you!
• Re: Thanks 🙂
• RE: Text message
• Re: Document
• Incoming message
• Re: Incoming Message
• RE: Incoming Msg
• RE: Message Notify
• Notification
• Changes..
• New changes
• Hidden message
• Fax Message Received
• Protected message
• RE: Protected message
• Forum notify
• Site changes
• Re: Hi
• Encrypted document

Tartalom: a következők közül egy:
. For security reasons attached file is password protected. The password is [bitmap kép]
. For security purposes the attached file is password protected. Password — [bitmap kép]
. Note: Use password [bitmap kép] to open archive.
. Attached file is protected with the password for security reasons. Password is [bitmap kép]
. In order to read the attach you have to use the following password: [bitmap kép]
. Archive password: [bitmap kép]
. Password – [bitmap kép]
. Password: [bitmap kép]

Csatolmány: egy .exe, .scr, .com, .zip, .vbs, .hta vagy .cpl csatolmánnyal bíró file

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 17.
Utolsó frissítés ideje: 2004. augusztus 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza az alábbi állományokat a System mappában:
. drvddll.exe
. drvddll.exeopen
. drvddll.exeopenopen
. drvddll.exeopenopenopen
– hozzáadja a drvddll.exe=[System elérési útvonala]/drvddll.exe bejegyzést az alábbi Registry kulcshoz: HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– megjeleníti az Error fejlécű álhibaüzenetet, ami következő szöveget tartalmazza: Can´t find a viewer associated with the file
– leállítja a rendszerre telepített behatolásvédelmi programok futó process-eit
– különböző weboldalakról megkísérel futtatni egy PHP-scriptet; sajnos, okulva az antivírus cégek és a Microsoft korábbi erőfeszítéseből, rengeteg webcímről le tudja szedni a fenti állományt, így a kérdéses szerverek mindegyikének kiiktatása már minden bizonnyan nem sikerülhet
– hét mutexet is létrehoz, ezzel akadályozandó meg az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– létrehozza a következő állományokat a System könyvtárban:
. windll.exe
. windll.exeopen
. windll.exeopenopen
. re_file.exe
– megkísérli önmaga másolatait létrehozni azokban a mappákban, melyeknek nevében megtalálható a shar sztring; ehhez számos, figyelemfelkeltő nevet használ, néhány példa:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
– e-mailcímek után kutat különböző állományokban, majd saját SMTP-motorja révén továbbítja is magát ezekre a címekre (néhány kivétellel)
– hátsó kaput hoz létre a fertőzött rendszeren egy véletlenszerűen kiválasztott TCP port megnyitásával, így az áldozatul esett számítógép a továbbiakban e-mail relay-ként funkcionálhat