A háború nem vicc – figyelmeztet jelentősebb állományaink tönkretételével a Vote féregvírus

A fertőzött e-mail jellemzői

Tárgy: [címzett neve], [véletlenszerű üzenet]
Tartalom: [címzett neve], THE WAR IS NOT A JOKE !…
THERE IS ONE BUILDING UP RIGHT NOW. Let´s Unite In This Horrible Kaos. …
Fight With Us….!!! …And Let Us Remember Those Lost Souls !
WE COUNT ON YOU !
Greetings,
World War Veterans.
PS- See Attachments For War Info.
Csatolmány: USA.VS.IRAQ.scr, Plug-In_EXT.dll

A féreg paraméterei

Felfedezésének ideje: 2003. május 20.
Védekezés elkészültének ideje: 2003. május 21.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 118.784 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion Registry kulcsban megváltoztatja a bejegyzéseket a következő módon:
RegisteredOwner YOU ARE A VICTIM OF THE
RegisteredOrganization WORLD TRADE CENTER
ProductName WtC-WoRm-LaMeR
– hozzáadja a W32Tc c:/windows/WTC32.scr bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Registry kulcsban a következő értéket állítja be: Start Page c:/windows/WTC32.scr
– felmásolja magát a következő helyekre:
. C:/Windows/WTC32.scr
. C:/Windows/Notepad.exe
. C:/Autorun.com
– a fertőzött számítógépen levő összes EXE és SCR állományt felülírja
– a Windows Address Bookjában található összes kontakt számára továbbítja magát
– hozzáadja a WtcSnd 1 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion Registry kulcshoz
– létrehozza önmaga másolatait a C:/Windows/System32 és a C:Windows könyvtárakban; ezek a következőképp néznek ki: BkUp[5 számjegy].exe
– létrehozza a C:/Program Files/mIRC/Script.ini állományt, ennek segítségével IRC-n keresztül terjed