Prim Hírek

Megjelenés dátuma: 2003.01.06.

Eredete: Ismeretlen

Hossza: 32766 (tömörített), 160768 (kitömörítve)

Típusa: Internet programféreg

Altípusa: E-mail

Szükséges adatbázis: 4241

Szükséges keresőmotor: 4.1.60

Leírás módosítva: 2002.01.08.

Előfordulás valószínűsége

Vállalati környezet: Közepes

Otthoni felhasználók: Közepes

Tulajdonságok

Ez a tömeges levelezést végző programféreg az ICQ, IRC és KaZaa programok segítségével is terjed. Tartalmaz továbbá egy jelszó-gyűjtő trójai programot, amit a megtámadott számítógépen futtat, valamint biztonsági szoftverek leállításával is megpróbálkozik.

Terjedés e-mailben:

A programférem az Outlook "Sent Items" és "Inbox" adatbázisaiban talált e-mail címekre küldi el magát. Szintén elküldi magát a Windows Címjegyzékben, és a helyi meghatjókon található

ˇ .DBX ˇ

ˇ .EML ˇ

ˇ .HTM ˇ

ˇ .HTML ˇ

ˇ .IDX ˇ

ˇ .MBX ˇ

ˇ .NCH ˇ

ˇ .SHTML ˇ

ˇ .TBB ˇ

ˇ .WAB ˇ

kiterjesztésű fájlokban fellelt e-mail címekre.

Tárgy: véletlenszerűen választva az alábbiak közül:

Fw: Avril Lavigne - the best

Fw: Prohibited customers...

Fwd: Re: Admission procedure

Fwd: Re: Reply on account for Incorrect MIME-header

Re: According to Daos Summit

Re: ACTR/ACCELS Transcriptions

Re: Brigade Ocho Free membership

Re: Reply on account for IFRAME-Security breach

Re: Reply on account for IIS-Security

Re: The real estate plunger

Melléklet: az alábbi fájlneveken fordulhat elő:

AvrilLavigne.exe

AvrilSmiles.exe

CERT-Vuln-Info.exe

Cogito_Ergo_Sum.exe

Complicated.exe

Download.exe

IAmWiThYoU.exe

MSO-Patch-0035.exe

MSO-Patch-0071.exe

Readme.exe

Resume.exe

Singles.exe

Sk8erBoi.exe

Sophos.exe

Transcripts.exe

Two-Up-Secretly.exe

Üzenettörzs:

Restricted area response team (RART)

___________________________________

Attachment you send to is intended to overwrite start address at 0000:HH4F

To prevent from the further buffer overflow attacks apply the MSO-patch.

___________________________________

vagy

Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.

vagy

Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription

Megjegyzés: A legutoljára felfedezett variáns MIME hiba kihasználásával a levél megnyitása nélkül lefuthat a javítást nem tartalmazó rendszereken. Ezek a levelek, mint "Exploit-MIME.gen" kerülnek detektálásra a 4172-es adatbázisverziók (2001. novembere) óta.

További inforámció erről a MIME-feljéc biztonsági hiányosságról: http://vil.nai.com/vil/content/v_99273.htm