Virová hrozba je během vánočních svátků mírně větší, protože pozornost lidí se upíná jinam než k problematice počítačové bezpečnosti. Nově zaznamenaný červ Cissi.A je typický emailový červ, který obsahuje i zadní vrátka v podobě možnosti připojení na IRC server, kde může čekat na zasílané příkazy. Alternativní cestou pro šíření je protokol NetBIOS a lokální síť, kde se červ šíří za podmínky, kdy není nastaveno heslo nebo je heslo příliš jednoduché.
Červ je napsaný v programovacím nástroji DELPHI a je komprimován pomocí UPX.Délka přílohy je 23 552 bajtů. Postižené systémy jsou Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.
Po spuštění přílohy se tělo červa nakopíruje do systémového adresáře operačního systému pod jménem Cissi.exe. Ihned po nakopírování si červ zajistí automatické spouštění po restartu a to buďto pomocí souboru system.ini nebo pomocí zápisu v systémovém registru.
Červ při svém šíření pomocí emailu obměňuje předmět zprávy a jméno přílohy z následujících připravených možností:
Předmět emailu:
- Heres a poem for you
- Ive written a poem for you
- Love poems for you :)
- Look what i wrote for you
- Poems for you
- Roses are red,
- You are mine,
- I love you until im dead,
- It will all be fine.
- I do miss you
- I do love you
- what you want me to do?
- I never want to go.
- Where did you run?
- Where did you hide?
- I stand here undone
- I stand here inside
- How could u do that
- Why did you say that
- How do you feel inside
- I wish i just could hide
Jméno přílohy:
- LovePoem.pif
- Poem_collection.pif
- Zipped_poems.exe
- My Poems.txt.exe
- Poems.pif
- Sad Stories and Poems.pif
- My Story.pif
- The Poems.pif
- Poems for you.pif
- Only Poems.txt.pif
Emailové adresy, na které se červ rozesílá jsou vyhledávány v následujících typech souborů: .htt , .rtf , .doc , .xls , .ini , .mdb , .txt , .htm , .html , .wab , .pst , .fdb , .cfg , .ldb , .eml , .abc , .ldif , .nab , .adp , .mdw , .mda , .mde , .ade , .sln , .dsw , .dsp , .vap , .php , .asp , .shtml.
Nalezené výsledky jsou uloženy v souboru Cissi.dll v adresáři System.
Při šíření po lokální síti jsou využívány síťové porty NetBIOS 135, 139 a 445. Červ se pokouší pomocí NetBIOSu spojit na náhodně vygenerované IP adresy. Při prvním kontaktu je vyzkoušena varianta prázdného heslo, pokud se neuspěje, jsou vyzkoušeny následující varianty hesel a přihlašovacích jmen:
Používaná přihlašovací jména:
- Guest
- Administrator
- Owner
- Root
Hesla:
1234, password, 6969, halley, 123456 , golf , pussy , mustang , 1111 , shadow , 1313 , fish , 5150 , 7777 , qwerty , baseball , 2112 , letmein , 12345678 , 12345 , ccc , admin , Admin , Password , 123 , 1234567 , 123456789 , 654321 , 54321 , 111 , 000000 , abc , 11111111 , 88888888 , pass , passwd , database , abcd , abc123 , sybase , 123qwe , server , computer , Internet , super , 123asd , ihavenopass , godblessyou , enable , 2002 , 2003 , 2600 , alpha , 110 , 111111 , 121212 , 123123 , 1234qwer , 123abc , 007 , aaa , patrick , pat , administrator , root , sex , god , foobar , secret , test , test123 , temp , temp123 , win , asdf , oracle`pwd , qwer , yxcv , zxcv , home , xxx , owner , login , Login , pw123 , love , mypc , mypc123 , admin123 , mypass , mypass123 , 901100
Pokud se červu podaří na počítač připojit, vytvoří na něm svoji kopii a pokusí se ji zaregistrovat i do plánovače, čímž dojde k jejímu spuštění. Dále se na nalezených nasdílených jednotkách pokouší taktéž vytvořit svoji kopii.
Při běhu jsou uskutečňovány pokusy o připojení na IRC server irc.undernet.org pod náhodně vygenerovanou přezdívkou, kde červ čeká na zaslání příkazů.
Červ není naprogramován úplně čistě a obsahuje několik chyb, které mohou způsobit jeho pád případně velké zpomalení běhu operačního systému.
Jak vidíte, možnosti tohoto červa jsou poměrně široké, proto doporučujeme nezanedbat pravidelnou aktualizaci antivirových programů.