Hackereszköznek álcázott féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: Your file
Csatolmány: Untitled.vbs
Tartalom: I remember when you asked for this file about 3 weeks ago, but I forgot to send it.

A féreg paraméterei

Felfedezésének ideje: 2003. március 31.
Védekezés elkészültének ideje: 2003. március 31.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 4.501 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: közepsen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba a következő neveken: Untitled.vbs, UpdataFiles.vbs (rejtett attributummal), LOL.jpg.vbs
– hozzáadja a FileSoft Wscript.exe [Windows elérési könyvtára]/UpdataFiles.vbs %1 bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– Outlookon keresztül (annak Address Bookját felhasználva) terjed el a fent ismertetett karakterisztikában
– kikeresi a Registry-ből a Program Files könyvtár helyét
– felmásolja magát Hacktools.zip.vbs néven minden könyvtárba az alábbiak közül, amelyik létezik:
. C:/My Downloads
. [Program Files elérési útvonala]/Kazaa/My Shared Folder
. [Program Files elérési útvonala]/KaZaA Lite/My Shared Folder
. [Program Files elérési útvonala]/Bearshare/Shared
. [Program Files elérési útvonala]/Edonkey2000
. [Program Files elérési útvonala]/Morpheus/My Shared Folder
. [Program Files elérési útvonala]/Grokster/My Grokster
. [Program Files elérési útvonala]/ICQ/Shared Files
– létrehozza a következő könyvtárak egyikében a Script.ini állományt:
. C:/Mirc
. C:/Mirc32
. [Program Files elérési útvonala]/Mirc
. [Program Files elérési útvonala]/Mirc32
– ennek a file-nak a révén képes a többi IRC felhasználó számára elküldeni magát; az állomány rejtett attributummal rendelkezik