Si tratta di una nuova variante della famiglia di worm Mydoom, che si diffonde attraverso posta elettronica sotto forma di allegati infetti, usando un proprio motore SMTP (Simple Mail Transfer Protocol) per inviare delle e-mail. Il worm e costituito da un file a 32 bit per Windows con formato Portable Executable ed e compresso con il programma UPX. La lunghezza e i nomi degli allegati possono variare.
Dettagli tecnici
Quando viene eseguito, il worm crea alcune chiavi nel Registro di sistema
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon
e scrive delle copie di se stesso nei seguenti percorsi
%Windir%\java.exe
%Windir%\services.exe
dove la variabile simbolica %Windir% rappresenta il percorso predefinito della cartella di Windows.
Per venire eseguito in automatico ad ogni avvio di Windows, il worm crea i seguenti valori
JavaVM=%Windir%\java.exe
Services=%Windir%\services.exe
nella chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Il worm crea i seguenti file, dove memorizza un rapporto su alcune attivita svolte dalle routine di diffusione
%Temp%\zincite.log
%Temp%\[nome casuale].log
dove la variabile simbolica %Temp% rappresenta il percorso della cartella dei file temporanei.
Per individuare gli indirizzi e-mail ai quali inviare se stesso, il worm effettua una ricerca all’interno dei file che hanno le seguenti estensioni
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
Inoltre, per trovare ulteriori indirizzi effettua delle ricerche sui seguenti siti web
search.lycos.com
search.yahoo.com
www.altavista.com
www.google.com
Il worm controlla la presenza di una finestra aperta di Microsoft Outlook e nel caso in cui il test abbia esito positivo cerca di inviare se stesso agli indirizzi e-mail contenuti nella finestra.
Le e-mail infette create dal worm presentano le seguenti caratteristiche
Mittente: viene contraffatto e non corrisponde a quello del mittente reale
Oggetto: uno scelto a caso nella lista che segue
say helo to my litl friend
click me baby, one more time
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Messaggio: un testo variabile in lingua inglese
Allegato: il worm puo generare un nome correlato a quello del dominio degli indirizzi e-mail trovati sul computer infettato. Inoltre, il nome dell’allegato puo essere scelto nella lista seguente:
attachment
document
file
instruction
letter
mail
message
readme
text
transcript
Le estensioni degli allegati infetti possono essere:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Infine, gli allegati possono presentare una doppia estensione, scelta tra le seguenti:
doc
htm
html
txt
Il worm evita di inviare se stesso a tutti gli indirizzi che contengono le seguenti stringhe di testo
abuse
accou
admin
anyone
arin.
avp
bar.
bugs
domain
example
feste
foo
foo.com
gmail
gnu.
gold-certs
google
help
hotmail
info
listserv
mailer-d
master
microsoft
msdn.
msn.
nobody
noone
not
nothing
ntivi
page
panda
privacycertific
rarsoft
rating
ripe.
sample
sarc.
seclist
secur
sf.net
site
soft
someone
sophos
sourceforge
spam
spersk
submit
support
syma
the.bat
trend
update
uslis
winrar
winzip
yahoo
you
your
Il worm tenta anche di prelevare ed eseguire una backdoor, che una volta attivata si mette in ascolto sulla porta TCP 1034.