Orosz féregvírus terjed

A féreg paraméterei

Felfedezésének ideje: 2004. június 4.
Utolsó frissítés ideje: 2004. június 6.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 57.856 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– az összes fix és ramdisk meghajtót (C-től Y-ig) átnézi, e-mailcímek utánt kutatva; ezeket a következő kiterjesztéssel bíró állományokban keresi: .in?, .htm, .html, .tx?, .me, .doc, .db?, .log, .wa?, .ad?, .md?, .xls, .cnv, .csv, .ab?, .his
– az ilyentén módon megszerzett e-mailcímeket a System mappában tárolja el a következő két file-ban: WINMAIL.MTS, WINMAIL.MLS
– amikor a fenti gyűjtéssel végzett, e-mailben elküldi minden címre magát
– a férget hordozó e-mail tárgya vagy a ˝Message is not delivered˝ vagy egy orosz nyelvű szöveg lesz, a tartalma pedig szintén a nagy szláv ország nyelvén olvasható; a csatolmány neve egy, a System könyvtárban található állomány lesz, .EXE kiterjesztéssel
– ha ebben a mappában a következő állományok valamelyikét látjuk, akkor biztosak lehetünk benne, hogy a féreg megfertőzte a rendszerünket:
. FOTKA JPG .EXE
. H_UYY JPG .EXE
. IOx?O DOC .EXE
. I???¤?? ntv_ru .EXE
. KOSMETIKA DOC .EXE
. MESSAGE .EXE
. PASSPORT JPG .EXE
. RABOTA DOC .EXE
. README DOC .EXE
. WINMAIL.MTS
. WINMAIL.MLS