Si tratta di una nuova variante della famiglia di worm Mydoom, che si diffonde attraverso posta elettronica sotto forma di allegati infetti, usando un proprio motore SMTP (Simple Mail Transfer Protocol) per inviare delle e-mail. Il worm e costituito da un file a 32 bit per Windows con formato Portable Executable ed e compresso con il programma UPX. La lunghezza e i nomi degli allegati possono variare.

Dettagli tecnici

Quando viene eseguito, il worm crea alcune chiavi nel Registro di sistema

HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon

e scrive delle copie di se stesso nei seguenti percorsi

%Windir%\java.exe
%Windir%\services.exe

dove la variabile simbolica %Windir% rappresenta il percorso predefinito della cartella di Windows.

Per venire eseguito in automatico ad ogni avvio di Windows, il worm crea i seguenti valori

JavaVM=%Windir%\java.exe
Services=%Windir%\services.exe

nella chiave

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Il worm crea i seguenti file, dove memorizza un rapporto su alcune attivita svolte dalle routine di diffusione

%Temp%\zincite.log
%Temp%\[nome casuale].log

dove la variabile simbolica %Temp% rappresenta il percorso della cartella dei file temporanei.

Per individuare gli indirizzi e-mail ai quali inviare se stesso, il worm effettua una ricerca all’interno dei file che hanno le seguenti estensioni

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

Inoltre, per trovare ulteriori indirizzi effettua delle ricerche sui seguenti siti web

search.lycos.com
search.yahoo.com
www.altavista.com
www.google.com

Il worm controlla la presenza di una finestra aperta di Microsoft Outlook e nel caso in cui il test abbia esito positivo cerca di inviare se stesso agli indirizzi e-mail contenuti nella finestra.

Le e-mail infette create dal worm presentano le seguenti caratteristiche

Mittente: viene contraffatto e non corrisponde a quello del mittente reale

Oggetto: uno scelto a caso nella lista che segue

say helo to my litl friend
click me baby, one more time
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error

Messaggio: un testo variabile in lingua inglese

Allegato: il worm puo generare un nome correlato a quello del dominio degli indirizzi e-mail trovati sul computer infettato. Inoltre, il nome dell’allegato puo essere scelto nella lista seguente:

attachment
document
file
instruction
letter
mail
message
readme
text
transcript

Le estensioni degli allegati infetti possono essere:

.bat
.cmd
.com
.exe
.pif
.scr
.zip

Infine, gli allegati possono presentare una doppia estensione, scelta tra le seguenti:

doc
htm
html
txt

Il worm evita di inviare se stesso a tutti gli indirizzi che contengono le seguenti stringhe di testo

abuse
accou
admin
anyone
arin.
avp
bar.
bugs
domain
example
feste
foo
foo.com
gmail
gnu.
gold-certs
google
help
hotmail
info
listserv
mailer-d
master
microsoft
msdn.
msn.
nobody
noone
not
nothing
ntivi
page
panda
privacycertific
rarsoft
rating
ripe.
sample
sarc.
seclist
secur
sf.net
site
soft
someone
sophos
sourceforge
spam
spersk
submit
support
syma
the.bat
trend
update
uslis
winrar
winzip
yahoo
you
your

Il worm tenta anche di prelevare ed eseguire una backdoor, che una volta attivata si mette in ascolto sulla porta TCP 1034.