A Windows-t becsmérli egy féregvírus

A fertőzött levél tulajdonságai

Feladó: hamis cím, a domainnév megegyezik a címzettével, a felhasználónév pedig az alábbiak egyike:
– Asia_Singer
– Great_Asia_Singer
– Stefanie Sun Yanzi
– Sun_YanZi
– Sun_YanZi_Hayrani
– Sun_Yan_Zi

Tárgy: az alábbiak közül egy:
– Forever Sun Yanzi
– Great_Asia_Singer
– Hoscakal
– I_hate_Spyware
– SuN_YanZi_innocent
– Sun-YanZi-Mp3-Archive
– Sun_YanZi_Hayrani

Tartalom: az alábbi sorok egyike:
– I can not contact you. Because, I am far to you(Turkiye)
– I want to meet Sun YanZi. I am loving Sun-YanZi´s Magic. Call me YanZi. But you don´t contact me(Turkiye).
– I want to see Sun YanZi. Call me Sun Yan Zi 😉
– My Favourite Singer is Stefanie Sun Yanzi
– Please listen to me Stefanie Sun Yanzi.
– You must to listen Sun Yanzi. I am enjoying to listen Sun YanZi.

Csatolmány: az alábbiak egyike .zip, .scr vagy .pif kiterjesztéssel:
– Sun_YanZi
– Huai_Tian_Qi
– Sun_Yanzi_Mp3
– Great_Asia_Singer
– World_Tour_Sun_YanZi

A féreg paraméterei

Felfedezésének ideje: 2004. november 22.
Utolsó frissítés ideje: 2004. november 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 122.880 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy WINDOWS PANIC fejlécű üzenőablakot, melynek szövege a következő: “No Windows. Yes doors and holes.”
– felmásolja magát a System könyvtárba Dong_Shi.exe és NvCpl.EXE néven
– létrehozza Yanzi.htm állományt a C meghajtó gyökerében, a Yanzi.htm file-t a Windows könyvtárában, a Huai_Tian_Q1.sys és az I_am_Sun_Yanzi.sys file-okat a System mappában, illetve YanZi.vbs-t az aktuális könyvtárban (ez utóbbi létrehozza a sun.exe állományt)
– amíg ez a file fut, létrehoz három .jpg állományt az ideiglenes file-okat tartalmazó könyvtárban, a nevük SuN prefixummal kezdődik
– ezek közül az egyik egy olyan trójai program, mely képes a Microsoft GDI+ Library JPEG Segment Length Integer Underflow sebezhetőséget kihasználni, és így file-t letölteni és futtatni (m00.exe néven a sunyanzi.fastmail.cn URL-ről, ez is trójai program)
– hozzáadja az NvCpl=[System elérési útvonala]/NvCpl.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a Stefanie Sun Yanzi nevű mutexet, ami megakadályozza, hogy a féreg többször is betöltésre kerüljön
– bemásolja önmagát azon mappákba a fertőzött számítógépen, melyek tartalmazzák a SHAR sztringet; ehhez a következő neveket használja fel:
– SunYanZi.mp3.exe
– Sun_YanZi-Huai_Tian_Qi.mpg.exe
– Sun_YanZi-I_am_not_sad.mp3.exe
– Sun_YanZi-Leave_me_alone.mp3.exe
– Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
– Sun_YanZi-Shen_Qi.exe
– Sun_YanZi-Tao_Wang.mpeg.exe
– YanZi.Mp3.exe
– YanZi_SuN-forever.mp3.exe
– e-mailcímeket gyűjt a Windows address bookjából illetve különböző file-okból, majd (néhány kivétellel) mindre továbbítja magát saját SMTP-motorja révén