W32.Dotor.A@mm – makróvírust ˝javító˝ féreg

A fertőzött e-mail tulajdonságai

Tárgy: NewTool for Word Macro Virus
Csatolmány: Doctor.exe
Tartalom: This tool allows you to protect you against unknown macro virus. Click on the attached file to run this freeware.
Best Regards. Have a nice day

A féreg paraméterei

Felfedezésének ideje: 2002. június 24.
Védekezés elkészültének ideje: 2002. június 25.
Mérete: 11.776 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén bekövetkező események

– elküldi magát az Outlook Address Bookjában található címekre a fent ismertetett e-mail formátumban
– létrehozza a C:/Windows/Start Menu/Programs/StartUp/Doctor.vbs scriptet, amely megfertőzi a Word globális template-jét, a Normal.dot-ot
(az így megfertőzött dokumentumokon víruskeresési eljárást futtatva az antivírus szoftverek W97M.Dotor.A@mm néven ismerik fel a fertőző kódot)
– a C meghajtó gyökérkönyvtárában létrehoz egy 8 véletlenszerű karakterből álló text file-t, amely a vírus forráskódját tartalmazza
– bemásolja magát a Windows könyvtárba Doctor.exe néven
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz hozzáadja a
DocTor C:/Windows/Doctor.exe /newrun bejegyzést, így minden rendszerindulás alkalmával egyben a féreg is indításra kerül