Fertőzött a supporttól érkező e-mail?

A fertőzött e-mail tulajdonságai

Feladó: support@yahoo.com (spoofolt e-mailcím)
Tárgy: egy a következőkből:
. Re: Application
. Re: Movie
. Re: Movies
. Re: Submitted
. Re: ScRe:ensaver
. Re: Documents
. Re: Re: Application ref 003644
. Re: Re: Document
. Your application
. Application.pif
. Applications.pif
. movie.pif
. Screensaver.scr
. submited.pif
. new document.pif
. Re: document.pif
. 004448554.pif
. Referer.pif
Csatolmány: a következők egyike:
. Your_details.zip (a Details.pif állományt tartalmazza)
. Application.zip (az Application.pif állományt tartalmazza)
. Document.zip (a Document.pif állományt tartalmazza)
. Screensaver.zip (a Sky.world.scr állományt tartalmazza)
. Movie.zip (a Movie.pif állományt tartalmazza)

A féreg paraméterei

Felfedezésének ideje: 2003. június 25.
Védekezés elkészültének ideje: 2003. június 26.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 82.195 byte (tömörítve), 86.528 byte (futtatható változat)
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba winssk32.exe néven
– ugyanitt létrehozza a msrrf.dat állományt, mely belső konfigurációs adatokat tartalmaz
– hozzáadja az SSK Service=[Windows elérési útvonala]/winssk32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– amennyiben a megfertőzött operációs rendszer Windows NT/2000/XP, hozzáadja a fenti bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz is
– felméri a hálózati erőforrásokat és felmásolja magát a következő helyekre:
. Windows/All Users/Start Menu/Programs/StartUp
. Documents and Settings/All Users/Start Menu/Programs/Startup
(a hálózaton megosztott PC-k fenti helyeire is felmásolja magát)