Az utóbbi idők legkomolyabb féregveszélye

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, melyben a következő nevek jelenhetnek meg, változó domainnevek mellett:
– Postmaster
– Mail Administrator
– Automatic Email Delivery Software
– Post Office
– The Post Office
– Bounced mail
– Returned mail
– MAILER-DAEMON
– Mail Delivery Subsystem

Tárgy: a következő közül egy:
– hello
– hi
– error
– status
– test
– report
– delivery failed
– Message could not be delivered
– Mail System Error – Returned Mail
– Delivery reports about your e-mail
– Returned mail: see transcript for details
– Returned mail: Data format error delivered

Tartalom: a levél tartalma változatos lehet, de mindegyik arról igyekszik meggyőzni az olvasót, hogy az e-mail egy korábban kiküldött, ám valamilyen okból visszapattant üzenet

Csatolmány: egy .bat, .cmd, .com, .exe, .pif, .scr, .zip kiterjesztéssel rendelkező állomány, melynek neve a következők valamelyike lehet:
– ATTACHMENT
– DOCUMENT
– FILE
– INSTRUCTION
– LETTER
– MAIL
– MESSAGE
– README
– TEXT
– TRANSCRIPT

A féreg paraméterei

Felfedezésének ideje: 2005. február 16.
Utolsó frissítés ideje: 2005. február 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a java.exe és a services.exe állományokat a Windows könyvtárában (ez utóbbi a Backdoor.Zincite.A trójai program)
– hozzáadja a JavaVM=[Windows elérési útvonala]/java.exe és a Services=[Windows elérési útvonala]/services.exe bejegyzéseket az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– létrehozza a HKEY_CURRENT_USER/Software/Microsoft/Daemon és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Daemon Registry kulcsot
– a Windows Address Bookból és a következő kiterjesztéssel bíró állományokból kigyűjti az e-mailcímeket: .pl*, .ph*, .tx*, .ht*, .asp, .sht, .adb, .db, .wab
– további címek után vadászik a következő onlin keresőmotorok révén: search.yahoo.com, search.lycos.com, www.altavista.com, www.google.com
– saját SMTP-motorja révén továbbítja magát a megszerzett e-mailcímekre (néhány kivétellel)
– letölt egy file-t a www.aoprojecteden.org webcímről, melyet a víruskereső alkalmazások a Backdoor.Nemog.D nevű trójai programnak azonosítanak be