BAT.Beckow.B@mm – szurkolók veszélyben!

A fertőzött e-mail tulajdonságai

Tárgy: üres
Csatolmány: Marcos.bat
Tartalom: Trashing Turkey Tactics!! Fresh From Brazil Coach!!

A féreg paraméterei

Felfedezésének ideje: 2002. június 24.
Védekezés elkészültének ideje: 2002. június 26.
Mérete: 9.612 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén bekövetkező események

– létrehozza a következő file-okat azokban a könyvtárakban, amelyek a férget tartalmazzák: Anderson.reg, Denilson.vbs, Vx.vbs (ez az elsődleges féregfile)
– a következő állományokat hozza létre:
C:/This_Is_Just_A_Simple_Worm_By_Galaxynet_IRC_#VX/Ronaldo.jpg.bat (ez az elsődleges féregfile)
C:/Lucio.vbs (ez tartalmazza a féreg e-mailező komponenseit)
C:/Marcos.bat (ez az elsődleges féregfile)
C:/Windows/Dida.bat
C:/Windows/Kaka.bat
C:/Windows/Carlos.vbs
C:/Windows/Chmxc.bat
C:/Windows/Paulista.bat
C:/Windows/Silva.bat
C:/Windows/System/Wini.bat (ez az elsődleges féregfile)
C:/Windows/Startm~1/Programs/StartUp/Kleberson.bat (ez az elsődleges féregfile)
A:/Cafu.bat (ez az elsődleges féregfile)
– elküldi magát az Outlookban található összes címre a fent ismertetett e-mail formában
– átnevezi a C:/Autoexec.bat file-t C:/Cafu.bat-ra és felülírja a .reg, .vbs, .bat, .ifk, .pif és .lnk kiterjesztésű állományokat
– megkeresi (ha van) a rendszerre telepített mIRC-klienst és annak Script.ini file-ját felülírja egy olyan kóddal, amely szétküldi a férget; a csatolmány neve, melyet elküld az IRC-felhasználóknak: C:/This_Is_Just_A_Simple_Worm_By_Galaxynet_IRC_#VX/ronaldo.jpg.bat.
– a lebukás elkerülése érdekében megpróbálja a víruskereső szoftverek következő file-jait letörölni (ha megtalálja a merevlemezen)
C:/Prlandgra~1/Kasper~1/Avp32.exe
C:/Prlandgra~1/Norton~1/*.exe
C:/Prlandgra~1/Trojan~1/Tc.exe
C:/Prlandgra~1/Norton~1/S32integ.dll
C:/Program Files/F-Prot95/Fpwm32.dll
C:/Program Files/Mcafee/Scan.dat
C:/Prlandgra/Tbav/Tbav.dat
C:/Program Files/Avpersonal/Antivir.vdf
C:/Tbavw95/Tbscan.sig
– az elrontott kód miatt nem mindegyik funkciója működik rendesen, működését a következő üzenettel zárja: Brazil shall win the World Cup 2002!!