Weboldalakhoz való hozzáférést letiltó féreg

A fertőzött e-mail jellemzői

Feladó: a következők egyike, vagy egyéb, ismeretlennek tűnő e-mailcím:
– Security Team
– Internet Explorer Team
– The Jackson Brothers
– Secqrity Response

Tárgy: az alábbiak közül egy:
– Mail server upgrading info.
– Attention! Your Internet account has been…
– Don´t send this to me again!
– I´m still waiting for your reply…
– Attention!
– Internet Explorer 7.0 on the row!!
– Urgent! Symantec Security Response.
– I have received your mail.
– Sign a petition for Micael Jackson

Tartalom: előre elkészített szövegekből választ, ezek közül néhány:
Hey, why did you send this to me? I´m not going to talk to you again. You know I don´t like such kinda pics. I have painted a reply on it. I have also covered the nasty parts with dark color. Anyway check it outit is all in the attachment. Please don´t send this kind of pictures to me.
bye

Hi, how are you? I´m fine. Why didn´t you reply to me? I´m still waiting…by the way I have sent you my recent picture with the close that like most on. Please reply to me, I´m still waiting for you. I willsend you another picture next time you reply, OK.
byte

Hi,
I don´t think you know me. But one thing is happening to me. It´s your mail appearing in my inbox. I am pissed off right now.

I think it is business related mail, but I don´t have the habit to read someone else´s mail. So I have downloaded put it in the attachment. So, I want you to do something. Either change your email or change your SMTP server, in that way I may get rest and you may get your mail. But if you don´t, I´m not going to send you the message rather I am going to put it to spam. Please be fast, it´s making my mail box out of space.
Thanks in advance.

Csatolmány: egy .cab file, amely beágyazottan tartalmaz egy .exe vagy .com állományt; a file neve a következők egyike lehet:
– MyPicture
– replied
– BinaryFormat
– MicrosoftIE7.0Documentation
– Patch
– YourMail
– TempAccountInfo
– NeedHelp

A féreg paraméterei

Felfedezésének ideje: 2005. április 24.
Utolsó frissítés ideje: 2005. április 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– rejtett attributummal felmásolja magát a System és a [felhasználói profil]/LOCALS~1/Applic~1/MICROS~1/Windows/ könyvtárba, a következő file-nevek valamelyikén:
. winssc32.exe
. mscppdmg.exe
. kernel32hlp.exe
. NAVctrl.exe
. dwrdgr32.exe
. gcasctrl.exe
. AVmon.exe
. winxplt.exe
. gcasAV32.exe
. LUCOMS~2.EXE
. zlbclient.exe
– létrehozza az alábbi mutexeket a megtámadott rendszeren, így tiltva le számos egyéb digitális kártevő futását:
. _-B_-I_-N_-I_-D_-O_-G_-G_-T_-H_-E_-K_-I_-N_-G_-
. – —>>>>BaDoom<<<<´;;?;;D__MUUUTEX
. – —>I|t´s a g|o|o|d t|h|i|n|g t|o37278;|o|i|n t|h|e|*|*|*|*
. s|o|c|i|e|t|y!<---
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_.
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. H-E-L-L-B-O-T
. – -oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
. ____—>>>>U<<<<--_____
– megkísérli letörölni a Microsoft Antispyware alkamazását, a Zone Labs behatolásvédelmi szoftverét és a Norton Antivirus programot, ha ezek közül bármelyik is fel van telepítve a rendszerre
– hozzáadja a “Windows Console Monitor” = “[System elérési útvonala]/[a féreg elérési útvonala]” bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/CurrentVersion/Run kulcshoz
– hozzáadja a “load” = “[felhasználói profil]/LOCALS~1/Applic~1/MICROS~1/Windows/[a féreg elérési útvonala]” bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows alkulcshoz
– létrehozza a következő Registry bejegyzéseket:
. HKEY_LOCAL_MACHINE/Software/SpeedBit
. HKEY_CURRENT_USER/Software/SpeedBit
– hozzáfűzi a hosts állományhoz a következő szöveget, majd alatta számos antivírus termékekkel foglalkozó cég domainnevét, így tiltva le a hozzáférést ezekhez az oldalakhoz:
#WARNING!! Modefing this file WILL cause system instability
# Microsoft strongely reommand NOT to modify this
# defult values. If you change any entry here, you
# CANNOT access the Internet.(more info can be found at
# www.msdn.[eltávolított domain].com/hostsur~f-ol-ed0504.asp)
– létrehozza a következő állományokat, melyek a fertőzés jelzőjeként szolgálnak: a System mappában: win32infchkr.exe, a felhasználói profil könyvtárában: Windows Initialization File.ini és sntConfrm.dat
– megjelenít egy Windows fejlécű álhibaüzenetet, melyben a következőt lehet olvasni:
Error: 4047
Invalid procedure call at this time.
Press OK to terminate.
– különböző állományokból e-mailcímeket gyűjt
– felmásolja magát a következő nevek egyikén minden olyan könyvtárba, aminek nevében megtalálható a shar vagy a users sztring:
. Naked teen-Actions.com
. Norton AntiVirus 2006 Crack.exe
. ZoneAlarm Security Suite 2005 Crack.com
. Win Server 2003 Remote Exploit.cmd
. Microsoft AntiSpyware Crack.com
. DVD to MP3 converter.exe
. Admini PAssword Cracker.exe
– megkísérli önmaga felfrissített változatát letölteni bizonyos URL-ekről file1.zip vagy file2.zip néven
– saját SMTP motorja révén e-mailen keresztül továbbítja magát
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit