W32.Socay.Worm – trójai képességekkel bíró féregvírus

A fertőzött e-mail paraméterei

Tárgy: Re:VISA DE TRABAJO
Tartalom: FIJATE EN LO QUE TE MANDO A VER SI TE GUSTA
YACONETMASTER
Csatolmány: változó

A féreg tulajdonságai

Felfedezésének ideje: 2003. január 15.
Utolsó frissítés ideje: 2003. január 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 249.856 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– megjelenít egy hamis hibaüzenetet, melynek szövege: Windows socket error: (10048), on API ´bind´
– felmásolja magát a Windows könyvtárba Scanregw.exe néven, ezzel felülírja az eredetileg ugyanezen a néven itt található állományt
– módosítja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcs ScanRegistry c:/windows/scanregw.exe bejegyzésének értékét
– megkísérli felmásolni magát percenként az A meghajtóra a következő néven: Visa de Trabajo [több szóköz] .exe
– megnyitja a 8520-as portot és parancsokra (például: file-ok fel- és letöltése, törlése, futtatása stb.) vár
– a fent ismertetett karakterisztikában továbbítja magát a Microsoft Outlook Address Bookjában található címekre