Modem booster – kétszer gyorsabb Internet-kapcsolat helyett féreg

A fertőzött e-mail jellemzői

A következő, előre legenerált levélsémákból válogat:

Tárgy: Modem booster
Csatolmány: ModemBooster.exe
Tartalom:
Hello,
I have a fairly slow modem, that is, until I installed the file in the Csatolmánys!
This program is a ˝Modem booster˝, it can make your internet connection go at most 2x faster 🙂
Enjoy!

Tárgy: Better than WinZip?
Csatolmány: FileCompress.exe
Tartalom: Try this file compressor that I downloaded from the net yesterday!
I have compressed some files, and it makes them at least 3 times smaller!
The installation file should be in the Csatolmánys as ˝FileCompress.exe˝
Cya!

Tárgy: Warp ScreenSaver
Csatolmány: WarpScreen.scr
Tartalom: Try this warp ScreenSaver in the Csatolmánys!
Cya!

Tárgy: Program
Csatolmány: Winprg32.pif
Tartalom: Here is that program that you asked for yesterday.

Tárgy: Fire ScreenSaver
Csatolmány: FireScreen.scr
Tartalom: Hello,
Check out this ScreenSaver of fire!
I think that it is one of the best ScreenSavers that I have ever seen!
Cya!

Tárgy: Program
Csatolmány: Msprg32.pif
Tartalom: Here is a copy of that program that everyone is asking for.
Please don´t delete it, because I might not send it to anyone else.
Thanks.

A féreg paraméterei

Felfedezésének ideje: 2003. május 19.
Védekezés elkészültének ideje: 2003. május 19.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 17.920 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba a következő neveken: FireScreen.scr, Msctrl32.scr
– hozzáadja az Outsider=W32/Outsider by Zed bejegyzést a HKEY_CURRENT_USER/Software/Zed/Outsider Registry kulcshoz
– hozzáadja az Msctrl32=[Windows elérési útvonala]/Msctrl32.scr bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérel megszerezni bizonyos információkat és elmenteni azokat a következő állományokba:
. [Windows elérési útvonala]/Inetdun32.txt
. [Windows elérési útvonala]/Inetcon32.txt
– ezt a két állományt e-mailen elküldi a következő címre: msctrl32@hotmail.com
– az alábbi könyvtárak után kutat:
. C:/Program Files/KMD/My Shared Folder
. C:/Program Files/KAZAA/My Shared Folder
. C:/Program Files/Kazaa Lite/My Shared Folder
. C:/Programmer/KMD/My Shared Folder
. C:/Programmer/KAZAA/My Shared Folder
. C:/Programmer/Kazaa Lite/My Shared Folder
. C:/Program/KMD/My Shared Folder
. C:/Program/KAZAA/My Shared Folder
. C:/Program/Kazaa Lite/My Shared Folder
. C:/Programme/KMD/My Shared Folder
. C:/Programme/KAZAA/My Shared Folder
. C:/Programme/Kazaa Lite/My Shared Folder
. C:/Programmi/KMD/My Shared Folder
. C:/Programmi/KAZAA/My Shared Folder
. C:/Programmi/Kazaa Lite/My Shared Folder
. C:/ProgramFiler/KMD/My Shared Folder
. C:/ProgramFiler/KAZAA/My Shared Folder
. C:/ProgramFiler/Kazaa Lite/My Shared Folder
. C:/Programas/KMD/My Shared Folder
. C:/Programas/KAZAA/My Shared Folder
. C:/Programas/Kazaa Lite/My Shared Folder
. C:/Archivos De Programma/KMD/My Shared Folder
. C:/Archivos De Programma/KAZAA/My Shared Folder
. C:/Archivos De Programma/Kazaa Lite/My Shared Folder
– amennyiben bármelyiket is megleli a fenti mappák közül, abba bemásolja magát a következő figyelemfelkeltő nevek egyikén:
. Johnny English (Movie) – Full Downloader.pif
. Gladiator (Movie) – Full Downloader.pif
. SwordFish (Movie) – Full Downloader.pif
. MSN Messenger Password Stealer.pif
. Norton AntiVirus [XXXX] Full.exe
. Hotmail Password Cracker.pif
. Jasc Paint Shop Pro 7 (Full).pif
. ScreenSaver.scr
. Microsoft Office [XXXX] Full.exe
– az [XXXX] a rendszerdátum évre vonatkozó részét jelenti (tehát jelenleg 2003-at)
– megpróbálkozik a rendszerre esetlegesen feltelepített behatolásvédelmi programok futó processeinek leállításával
– megjeleníti az Error Starting Program fejlécű, A required .DLL file, MSVBVM60.DLL, was not found. szövegű hamis hibaüzenetet
– megkísérel bezárni minden ablakot, melynek fejlécében szerepel a Registry Editor kifejezés
– e-mailben elküldi magát a Windows Address Bookjában található címekre