Új e-mail féreg terjed
I-Worm.Winevar
A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy: (Subject)
Re: AVAR(Association of Anti-Virus Asia Reseachers)
Levélszöveg: (Body)
AVAR(Association of Anti-Virus Asia Reseachers) - Report. Invariably, Anti-Virus Program is very foolish.
Csatolt állomány: (Attachment)
MUSIC_1.HTM
MUSIC_2.CEO
A féreg a lefuttatásához egy biztonsági rést (IFRAME Exploit) próbál meg kihasználni. A féreg telepíti magát a rendszerbe, majd lefuttatja a terjesztő és büntető rutinját.
Fertőzés:
A féreg véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba:
WIN%rnd%.EXE or WIN%rnd%.PIF
Ahol a %rnd% érték egy véletlenszám, és létrehoz egy olyan registry kulcsot, amely ezt minden rendszerindításkor lefuttatja:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
A féreg ezen kívül létrehoz (dropper) egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven bemásol, szintén a Windows System alkönyvtárba.
A Funlove eredeti szövege helyett az alábbit karaktersorozatot tartalmazza:
~AAVAR 2002 in Seoul~
Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik.
Megjeleníti az alábbi üzenetet:
Make a fool of oneself
What a foolish thing you have done!
A féreg létrehoz magából (dropper) egy Funlove.4099 vírusvariánst is, WINxxxx.PIF néven
Terjedés:
A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelezőmappa-állományokban kutat címek után és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek.
A terjedéshez közvetlenül az alapbeállításban szereplő SMTP mail servert használja, ezt a Windows regisztrációs adatbázisból olvassa ki.
A féreg szintén tartalmaz egy hálózati terjedési rutint is, amelyik bemásolja magát EXPLORER.PIF néven a hálózati megosztásokba, de az első vizsgálat alapján úgy tűnik, ezt a rutint nem fejezte be a vírusíró.
Büntető rutin:
A féreg a futó processzek között antivírus-, tűzfal- és debugger programok folyamatait is megpróbálja megkeresni és leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben (vagy talán minden alkalommal?) ha antivírusprogramot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy ezt szándékosan teszi, vagy ez egy programhiba a víruskódban.
A féreg megváltoztatja a regisztrációs adatbázisban (Registry) az alábbi kulcsokat:
SOFTWARE\Microsoft\Windows NT\CurrentVersion
SOFTWARE\Microsoft\Windows\CurrentVersion
Ezek eredeti értéke helyett a következő szövegeket írja be:
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus
Ezenfelül a féreg végtelen ciklusban hívogatja a http://www.symantec.com weboldalt, úgy tűnik, DoS támadást próbál intézni a szerver ellen.
A féreg az alábbi, titkosított szövegeket tartalmazza:
~~ Drone Of StarCraft~~
http://www.sex.com/
Az F-Secure és Kaspersky Anti-Virus programok a 2002. november 25-i adatállományokkal már képesek detektálni.
Kapcsolódó cikkek
- Hypponen Budapesten: F-Secure Client Security
- Bűnözői célkeresztben a közösségépítő oldalak
- Elérhető az F-Secure Internet Security 2007 csomagja
- A Microsoft megváltoztatja az antivírus piacot
- Vírusvilágtérkép az F-Secure-tól
- F-Secure vírusvédelem Windows Mobile 5.0 operációs rendszerre
- Rohamosan terjed a Nyxem.E vírus, és havonta egyszer pusztít
- 20 éves a számítógépes vírus
- Díjnyertes F-Secure anti-vírus szoftver
- Béta MSN Messengernek álcázza magát a vírus