Prim Hírek

Emellett semlegesíti az antivírus-alkalmazásokat, begyűjti a fertőzött gépről az e-mail címeket, más károkozó állományokat is elhelyez bizonyos könyvtárakban, hamisítja a levelek feladóit - és saját SMTP motort használ mindehhez. Másik neve: W32/Mugly.gen@MM.

W32/Wurmark-D tipikus "mass mailing" (spammer) féreg, ami a levelek mellékletében mint .ZIP állomány terjeszti, küldi magát a fertőzött gépeken található címekre. Amikor a féreg fut, és telepíti magát a fertőzött gépre, akkor annak a képernyőjén egy kép - az ún. newyear. jpg jelenik meg (a kép egy meztelen testekből kreált betűkből álló "Happy New Year" felirat).

A W32/Wurmark-D A Windows System mappába helyezi el a ANSMTP.DLL, attached.zip, bszip.dll, newyear.jpg és a xxz.tmp állományokat, míg a C: meghajtóra a bt32.exe fájlt.

A féreg, hogy biztosítsa a gép újraindításakor a saját "auto start"-ját a regisztrációs adatbázisba az alábbiakat jegyzi be:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
vb6
BT32.EXE

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
vb6
BT32.EXE

Ezen túl még egy bejegyzést tesz:

HKCUSoftwareMicrosoftOLE
vb6
BT32.EXE

W32/Wurmark-D a fertőzött gép alábbi kiterjesztésű állományaiban keres email címeket: WAB, ADB, TBB, DBX, ASP, PHP, HTM, HTML, SHT, TXT és DOC

A ZIP W32/Wurmark-D férget tartalmazó csatolt. ZIP állomány neve: attached.zip

A féreg az eredeti, a gépen talált címek alapján az alábbi formában küldi a leveleket:

godfather@hotmail.com
alex@hotmail.com
George@gmail.com
marija@hotmail.com
mary13@gmail.com
cutie88@ogrish.com
BARBARA@hotmail.com
Jane78@hotmail.com
britany56@sex.com
michael77@gmail.com
admirer12@yahoo.com
funyblock@hotmail.com
tit_fuck_909@paltalk.com
barby56@aol.com
Jane44@download.com

Tárgy:
HAPPY NEW YEAR!!!

Üzenetszöveg:
All the best in new year from our family
here is a litle attachment to make you smile in new year
email me back haha...

Tárgy:
MARY CHRISTMAS from our family

Üzenetszöveg:
All the best in new year and christams from our family
i was lauging like mad when i saw it! :D

Elvétve a melléklet, mely a férget tartalmazza az azábbiak közül lehet még valamelyik:

Sexy_new_year.scr
HOT_NEW_YEAR.scr
Marry_christmas.scr
with_love.scr
From_my_hart.scr
new_year.scr
Hot_new_year.scr

A W32/Wurmark-D képes leállítani az antivírus-védelmet a fertőzött gépen.

ANSMTP.DLL, bszip.dll és newyear.jpg nem rosszindulatú állomány, nyugodtan lehet törölni azokat, míg a bt32.exe fájlt a frissített adatbázisú víruskeresők felismerik.

Csak két napot kellett várni, és megjelent a következő Wurmark variáns, ami szintén jellegzetes képről ismerhető fel - bár akkor már a fertőzés megtörtént...

A W32/Wurmark-E férget január 13-án észlelték, és elemezték, mely szintén hálózati féreg, mely levél csatolmányként terjed, Windows alkalmazásokat fertőz. Emellett semlegesíti a védelmi alkalmazásokat, begyűjti a fertőzött gépről az e-mail címeket, melyekre a leveleket küldi - és saját SMTP motort használ mindehhez.

W32/Wurmark-E is tipikus "mass mailing" (spammer) féreg, ami a levelek mellékletében mint .ZIP állomány terjeszti, küldi magát a fertőzött gépeken található címekre. Amikor a féreg fut, és telepíti magát a fertőzött gépre, akkor annak a képernyőjén egy kép - az ún. uglym.jpg jelenik meg (egy torz arckép).

W32/Wurmark-E a Windows System mappába az alábbi állományokat helyezi - mely a vírus tartalmazza: attached.zip, és xxz.tmp, ami a féreg másolata.

W32/Wurmark-E "leteszi" még a következő "clean" állományokat:

ANSMTP.DLL
bszip.dll
uglym.jpg

Ezek az állományok a W32/Rbot-TH trojánhoz hasonlóan megkeresik, és törlik, semlegesítik az alábbi fájlokat:

lexplore.exe
winprotectt.exe
adaware.exe
adware.exe
VB6.EXE
bt32.exe

W32/Wurmark-E a fertőzött gép alábbi kiterjesztésű állományaiban keres e-mail címeket:

WAB
ADB
TBB
DBX
ASP
PHP
HTM
HTML
SHT
TXT
DOC

A féreg kihagyja azokat a címeket, melyek az alábbi karakter sorokat tartalmazzák:

adaware
nod32
trendmicro
grisoft
pandasoftware
sopho
ssophos
.gov
symantec
lavasof

A féreg az eredeti, a gépen talált címek alapján az alábbi formában küldi a leveleket, melyek mellékletének neve, ami a W32/Wurmark-E férget "hordja" attached.zip.

adead_poet@hotmail.com
alex_edwards2000@msn.com
romeorichard@google.com
apiffany@cnet.com
sexy_lil_thing@no-ip.com
cutie_pie@ogrish.com
easy_lay666@lovenet.com
hunk_hogan78@hallmark.com
britany_slut56@sex.com
tit_fuck_909@gmail.com
good_fuck12@yahoo.com
blowjob_lips666@romance.com
tit_fuck_909@paltalk.com
sexy_guy88@aol.com
mucle_bound_hunk892@download.com

Tárgy: Hhahahah lol!!!!

Üzenet szöveg:
i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! :D
email me back haha...

Tárgy: Your Pic On A Website!!

Üzenet szöveg:
I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!

Tárgy: Rate My Pic.......

Üzenet szöveg:
Hi ive sent 5 emails now and nobody will rate
my pic!! :( please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken :P

Tárgy: You have an Admirer

Üzenet szöveg:
Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment :)
please download and respond telling us if you
would like to make further contact with this
person.
Regards Hallmark Admirer Mail Admin.

Elvétve a melléklet, mely a férget tartalmazza az alábbiak közül lehet még valamelyik:

Pic_001.jpg.scr
Sexy_09.jpg.scr
Scan_04.jpg.scr
Photo_01.jpg.scr
admire_001.jpg.scr
is_this_you.jpg.scr
love_04.jpg.scr
for_you.jpg.scr