Megjelenés dátuma: 2003.01.06.
Eredete: Ismeretlen
Hossza: 32766 (tömörített), 160768 (kitömörítve)
Típusa: Internet programféreg
Altípusa: E-mail
Szükséges adatbázis: 4241
Szükséges keresőmotor: 4.1.60
Leírás módosítva: 2002.01.08.
Előfordulás valószínűsége
Vállalati környezet: Közepes
Otthoni felhasználók: Közepes
Tulajdonságok
Ez a tömeges levelezést végző programféreg az ICQ, IRC és KaZaa programok segítségével is terjed. Tartalmaz továbbá egy jelszó-gyűjtő trójai programot, amit a megtámadott számítógépen futtat, valamint biztonsági szoftverek leállításával is megpróbálkozik.
Terjedés e-mailben:
A programférem az Outlook "Sent Items" és "Inbox" adatbázisaiban talált e-mail címekre küldi el magát. Szintén elküldi magát a Windows Címjegyzékben, és a helyi meghatjókon található
ˇ .DBX ˇ
ˇ .EML ˇ
ˇ .HTM ˇ
ˇ .HTML ˇ
ˇ .IDX ˇ
ˇ .MBX ˇ
ˇ .NCH ˇ
ˇ .SHTML ˇ
ˇ .TBB ˇ
ˇ .WAB ˇ
kiterjesztésű fájlokban fellelt e-mail címekre.
Tárgy: véletlenszerűen választva az alábbiak közül:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger
Melléklet: az alábbi fájlneveken fordulhat elő:
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe
Üzenettörzs:
Restricted area response team (RART)
___________________________________
Attachment you send to is intended to overwrite start address at 0000:HH4F
To prevent from the further buffer overflow attacks apply the MSO-patch.
___________________________________
vagy
Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.
vagy
Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription
Megjegyzés: A legutoljára felfedezett variáns MIME hiba kihasználásával a levél megnyitása nélkül lefuthat a javítást nem tartalmazó rendszereken. Ezek a levelek, mint "Exploit-MIME.gen" kerülnek detektálásra a 4172-es adatbázisverziók (2001. novembere) óta.
További inforámció erről a MIME-feljéc biztonsági hiányosságról: http://vil.nai.com/vil/content/v_99273.htm