Összetett működésű, bonyolult féregvírus

A fertőzött e-mail tulajdonságai

Egy viszonylag nagy, előre definiált adatbázisból építi fel a leveleket, vagy véletlenszerűen is összerakhat egy e-mailt.

A féreg paraméterei

Felfedezésének ideje: 2003. január 22.
Védekezés elkészültének ideje: 2003. január 23.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 82.949 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– egy hamis hibaüzenetet jelenít meg
– felmásolja magát a Windows könyvtárba egy véletlenszerűen válaszott file-néven, illetve néhány konfigurációs állományt is bemásol a Windows és a System könyvtárba (rejtett attributummal)
– hozzáadja a [véletlenszerű értéknév] [véletlenszerűen választott file-név] powprof.dll,LoadCurrentPwrScheme bejegyzést a HKEY_LOCAL_MACHINE/Software/Mcrosoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_CLASS_ROOT/exefile/shell/open/command Registry kulcs default értékét átírja a következőre: [féreg file-neve] ˝%1˝ %
– a HKEY_CLASS_ROOT/regfile/shell/open/command Registry kulcs default értékét átírja a következőre: [féreg file-neve] regedit.exe ˝%1˝
– felmásolja a System könyvtárba a Syshook.dll állományt
– véletlenszerűen választ a Program Files-ban egy alkönyvtárat és oda bemásolja magát, majd a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban készít egy, erre a file-ra hivatkozó bejegyzést
– bemásolja magát a System könyvtárba és a Win.ini file-ban a következő kiegésztítést hozza létre, a [Windows] rész alatt: run=C:/[System elérési útvonala]/[féregfile]
– folyamatosan figyel, és amennyiben a HKEY_CLASS_ROOT/exefile/shell/open/command Registry kulcs korábban beállított default értéke megváltozik, azt visszaírja a következőre: [féreg file-neve] ˝%1˝
– mindegyik ablakot lezárja, melynek neve a következő szavak bármelyikét is tartalmazza: black, panda, shield, scan, mcafee, labs, zone, alarm, agent, avp, msie, navap, mstask, webcheck, iomon, nai_vs_stat
– könyvtárak után kutat, amelyeket letöröl, ha a következő szavak bármelyike is megtalálható a nevében: labs and zone, kaspers, mcafee, panda, avp, pc, cillin, black and ice, norton and virus; illetve az ugyaneme karaktereket tartalmazó processeket is leállítja
– amennyiben a korábban felmásolt állományok vagy Registry kulcsok hiányát fedezi fel, megkísérelheti letörölni az összes file-t a fertőzött rendszerről
– a Mirc scriptfile-ját felülírva IRC-n keresztül is képes terjedni
– a következő nevű könyvtárak után kutat a hálózati megosztásokon: Windows, Win, Win95, Win98, Winme, Dir
– amennyiben talál ilyet, felmásolja magát oda figyelemfelkeltő néven és megkísérli update-elni a könyvtárban levő Win.ini állományt
– amennyiben a hálózati meghajtón nem találja meg a fent említett könyvtárakat, felmásolja magát a gyökérkönyvtárába (rejtett attributummal) és létrehozza az Autorun.inf állományt, amely révén minden alkalommal futtatásra kerül a féreg, ha megnyitja valaki a hálózati mappát
– amennyiben a Kazaa fel van telepítve a számítógépre, a féreg hozzáadja a következő bejegyzéseket a HKEY_CURRENT_USER/Software/Kazaa/LocalContent Registry kulcshoz: DisableSharing 0
Dir[szám] [Windows elérési útvonala]/profile; és felmásolja magát a Windows könyvtárban levő Profile könyvtárba
– minden, a bejövő üzenetekben található e-mailcímre továbbítja magát, ehhez az alapértelmezett levelezőklienst használja fel; az üzenetek lehetnek véletlenszerűen generáltak vagy előre meghatározottak is