Trojan.Opnis.EM

A levelek mellékletként tartalmazzák a körülbelül 11 kbájt hosszú letöltõ kártevõt. Az elmúlt 24 óra alatt mintegy 30 különbözõ, de egymáshoz hasonló variánst azonosítottunk.
A kártevõ további komponenseket tölt le az Internetrõl és futtat a fertõzött számítógépen.

A Trojan.Opnis.EM egy fertõzött email üzenettel érkezik. A levél minden esetben futtatható, exepackerrel tömörített mellékletet hordoz - rendszerint megtévesztõ névvel és kiterjesztéssel.

2006. október 19-én hajnalban erõs aktivitást mutatott ez az új változat. Maga a trójai komponens egy Windows PE EXE típusú, Update-KB????-X86.EXE nevû fájl, melyet a UPX (Ultimate Packer for eXecutables) segítségével tömörítettek össze. A fájlnévben a kérdõjelek helyén különbözõ, esetenként változó számok állhatnak (pl. 5098, 2687). Eredeti, tömörítés nélküli hossza körülbelül 67 KB.

Futása során átmásolja magát egy 10 karakter hosszú, csak betûkbõl álló véletlenszerû névvel a %windir%\System32 mappába. A %windir% itt a mindenkori Windows alkönyvtárat jelöli.

A Windows rendszerleíró adatbázisában (Registry) különbözõ bejegyzéseket hoz létre, amivel automatikusan lefuttathatja magát minden Windows indításkor:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\System\CurrentControlSet\Control\Session Manager]

Megkísérel a weben keresztül kapcsolatba lépni a http://www6.vedasetionkderun.com/ webhellyel és megpróbál errõl a címrõl további kártékony állományokat letölteni.

Emellett a helyi gépen fertõzhetõ email címek után kutat az összes elérhetõ merevlemezes meghajtón, végezetül, kapcsolódik a levelezõ szerverhez, és szétküldi magát a megtalált címekre.

A levelek Tárgysora (Subject) egy listából véletlenszerûen generálódik, például:

"Good Day",
"Server Report",
"hello",
"picture",
"Status",
"test",
"Error",
"Mail Delivery System",
"Mail Transaction Failed".

Hasonlóképpen a melléklet állományok elnevezése is változó lehet, például:

"test.log.bat"
"readme.elm.exe"
"docs.txt.scr"

Jól látható, hogy a fájl minden esetben egy megtévesztõ, a melléklet lefuttatását biztosító második fájlkiterjesztéssel is rendelkezik.

A levél törzsében az alábbi szövegek jelenhetnek meg:

"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
"The message contains Unicode characters and has been sentas a binary attachment."

A VirusBuster programok a 9.42.3 vagy késõbbi adatállományokkal már sikeresen képesek felismerni.