A vírus, hasonlóan a nemrégiben elterjedt Downloader-DK-hoz, az alábbi felépítésű e-mailben terjeszti önmagát:
– Küldő: Admin
Tárgy: Your account (felhasználónév)
Fontosság: High
– Az e-mail szövege: “Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
— Best regards, Administrator”
– Csatolt állomány: message.zip, amely a MESSAGE.HTM fájlt tartalmazza.
A csatolt állományban található fájl, az MS-02-015-ös és az MS-03-014 számon nyilvántartott sérülékenységeket kihasználva létrehozza és lefuttatja a foo.exe alkalmazást az ideiglenes Internet fájlok mappában, amely az alábbi fájlokat másolja a %windir% mappába: (a %windir% mappa a Windows alapértelmezett mappája, pl.: C:WINNT, C:WINDOWS):
1. videodrv.exe (19,824 bájt)
2. exe.tmp (20,445 bájt)
3. zip.tmp (20,567 bájt)
Ezután létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor betölti a féregvírust:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run “VideoDriver” = C:WINNTvideodrv.exe
A vírus először csatlakozni próbál a google.com oldalhoz, hogy ellenőrizze az Internet kapcsolat meglétét, majd a helyi rendszer össze olyan fájlját átvizsgálja e-mail címeket keresve, amelynek a kiterjesztése nem az alábbiak egyike: avi bmp cab com dll exe gif jpg mp3 mpg ocx pdf psd rar tif vxd wav zip.
A vírus az így összegyűjtött címeket a WINDOWS könyvtárban tárolja az eml.tmp nevű fájlban, és végül létrehozza a HKEY_LOCAL_MACHINESOFTWAREMicrosoftCode Store DatabaseDistribution Units {11111111-1111-1111-1111-111111111111} Registry kulcsot.
További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
Az AVERT Kutató Központról:
A McAfee AVERT (Anti-Virus Emergency Response Team) a világ egyik vezető vírusirtó kutatószervezete, mely 16 országban foglalkoztat kutatókat. Alapvető feladata a számítógéphasználók és a Network Associates ügyfelek támogatása. A legújabb fenyegetések kutatásával elősegíti, hogy a felhasználók nagyobb biztonságban dolgozhassanak. Az AVERT célja nem a félelemkeltés, hanem a tanácsadás és a figyelemfelhívás.
A McAfee Security-ről:
A McAfee Security a Network Associates üzletága, amely a vállalatokat biztonsági rések, vírustámadások és vegyes fenyegetések ellen védi. A McAfee Security átfogó hálózati védelmet kínál vírusirtó, kódolási, desktop tűzfal, behatolás érzékelő, sérülékenység elemző és menedzselt biztonsági technológiák segítségével.
További információ a McAfee Security termékekről: http://www.mcafeesecurity.com.
A Network Associates termékei régóta ismertek és használatosak Magyarországon. 2000 óta a Network Associates képviseleti irodát tart fenn hazánkban.
Megjegyzés: a Network Associates, a Sniffer, a McAfee a Magic Solutions és az AVERT a Network Associates, Inc. és/vagy vállalatai bejegyzett védjegyei az Egyesült Államokban és/vagy más országokban. Az összes többi bejegyzett vagy be nem jegyzett védjegy ebben a közleményben a megfelelő birtokosok kizárólagos tulajdona.
—
PR ügynökség:
Szezám Kommunikációs Kft.
Ügyvezető: dr. Szekfű András
Tel: 438-0650
Fax: 315-1983
szezam@szezam.hu
www.szezam.hu