W32.AJM.Worm – foci VB ihlette féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: koreai szöveg
Tartalom: koreai szöveg
Csatolmány: néhány az alábbiak közül: Heddink.exe, Go Korea.exe, RedDevil.exe, WorldCup.exe, 2002.exe

A féreg paraméterei

Felfedezésének ideje: 2002. augusztus 2.
Védekezés elkészültének ideje: 2002. augusztus 5.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Mérete: 176.173 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a C meghajtón található System könyvtárba véletlenszerűen választott neveken, melyek között koreai karakterek is találhatók (néhány példa: User32Rem.exe, UserGDL.exe, BihUpdate.exe, SysRtw32.exe, Win32Dll.exe, MsCrt32.exe, Temp32.exe)
– létrehoz egy, az erre az állományra mutató Registry bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcsban, így minden rendszerinduláskor futtatásra kerül a féreg is
– az olvasatlan e-mail üzenetekből szerzett postafiókokra továbbítja magát
– további zavaró dolgokat tesz, amennyiben egy bizonyos dátumnak megfelelő értéken áll a rendszer órája