Vírusmentes e-mailnek álcázva érkező féreg

A fertőzött e-mail jellemzői

Tárgy: egy előre elkészített, sok elemű listából válogat, néhány példa:
– Administration
– Bad Request
– Delivery Protection
– Delivery Server
– Encripted Mail
– Error
– Extended Mail
– Extended Mail System

Tartalom: szintén számos változat létezik, néhány variáció a levéltörzsre:
– Bad Gateway: The message has been attached.
– Delivered message is attached.
– Encrypted message is available.
– ESMTP [Secure Mail System #334]: Secure message is attached.
– First part of the secure mail is available.
– Follow the instructions t read the message.
– For further details see the attachment.
– For more details see the attachment.
– Forwarded message is available.
– New message is available.

Álnok módon hozzáfűzi a végéhez a +++ Attachment: No Virus found sort, majd az alábbiak egyikét:
+++ MessageLabs AntiVirus – www.messagelabs.com
+++ Bitdefender AntiVirus – www.bitdefender.com
+++ MC-Afee AntiVirus – www.mcafee.com
+++ Kaspersky AntiVirus – www.kaspersky.com
+++ Panda AntiVirus – www.pandasoftware.com
++++ Norman AntiVirus – www.norman.com
++++ F-Secure AntiVirus – www.f-secure.com
++++ Norton AntiVirus – www.symantec.de

Csatolmány: az alábbiak egyike:
– data.zip
– details.zip
– document.zip
– Message.zip
– msg.zip
– readme.zip

Megjegyzés: a tömörített állomány a következők egyikét tartalmazza:
Document.txt [sok szóköz].exe
Delails.doc [sok szóköz].exe
Data.txt [sok szóköz].exe
Readme.txt [sok szóköz].exe

A féreg paraméterei

Felfedezésének ideje: 2005. április 15.
Utolsó frissítés ideje: 2005. április 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 557.056 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja lsess.exe néven magát a System mappába
– létrehozza ugyanitt a következő ZIP állományokat, melyek a féreg achívált változatai:
• lsess.zip
• credit card.zip
• edonkey 1.1.zip
• emoticons msn.zip
• hotmail passwords howto.me.zip
• lsess.zip
• norton antivirus.zip
• overnet full.zip
• windows commander.zip
• windows xp activate.zip
• winzip cracked.zip
– még mindig itt hozza létre a zlib.dll és az ansmtp.dll file-okat
– hozzáadja az “lsess” = “lsess.exe” bejegyzést a következő Registry alkulcsokhoz:
• HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce
• HKEY_CLASSES_ROOT/txtfile/shell/open/command
– átkutatja a számítógép merevlemezén tárolt file-okat e-mailcímek után
– saját SMTP-motorját beregisztrálja a következő Registry bejegyzések létrehozásával:
• HKEY_CLASSES_ROOTANSMTP.MassSender
• HKEY_CLASSES_ROOTANSMTP.MassSender.1
• HKEY_CLASSES_ROOTCLSID{253664FB-EDFC-4AC6-BD69-B322F466AEED}
• HKEY_CLASSES_ROOTCLSID{887A577B-406B-48FF-80CB-70752BFCD7B4}
– elküldi magát (majdnem) minden megszerzett e-mailcímre
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit