Fertőzött e-mail – hamis a feladócím

A fertőzött e-mail tulajdonságai

Feladó: véletlenszerűen meghamisíthatja a feladó e-mailcímét
Tárgy: véletlenszerűen választott szöveg
Tartalom: egy számos elemből álló listából állít össze egyet véletlenszerűen
Csatolmány: egy listából választ nevet magának, a kiterjesztése a következők egyike lehet: .scr, .pif, .bat

A féreg paraméterei

Felfedezésének ideje: 2003. július 5.
Védekezés elkészültének ideje: 2003. július 7.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 48.640 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát (akár több példányban is) a System könyvtárba rejtett attributummal
– hozzáadja a MicrosoftServiceManager [System elérési útvonala]/[a fenti állomány neve] bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– minden EXE állomány futtatásakor elindul, ˝köszönhetően˝ a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcsba való, a féregre mutató bejegyzés felvitelének
– felmásolja magát a System könyvtárba a következő nevek egyikén:
. Hotmail_hack.exe
. Friendship.scr
. World_of_friendship.scr
. Shake.scr
. Sweet.scr
. Be_happy.scr
. Friend_finder.exe
. I_like_you.scr
. Love.scr
. Dance.scr
. Gc_messenger.exe
. True_love.scr
. Friend_happy.scr
. Best_friend.scr
. Life.scr
. Colour_of_life.scr
. Friendship_funny.scr
. Funny.scr
– megpróbálkozik a rendszerre telepített behatolásvédelmi szoftverek futó processeinek leállításával
– megkísérli letörölni a következő állományokat a System könyvtárból:
. WinServices.exe
. Nav32_loader.exe
. Tcpsvs32.exe
. Syshelp32.exe
. Wingate.exe
. Winrpcsrv.exe
. Winmgm32.exe
– megkísérli letörölni a SNTMLS.dat file-t a Windows könyvtárból