Állománytörlő féregvírus

A fertőzött levél jellemzői

Tárgy: Hi! vagy Something funny!

Tartalom: a következő két szöveg valamelyike:
. This is a nice game I found. Beat my score: 5386 Points! Try it! 🙂
See you later!
. This is my little test

A féreg paraméterei

Felfedezésének ideje: 2004. június 4.
Utolsó frissítés ideje: 2004. június 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 26.112 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Regedit.exe.tmp néven
– elindítja a Regedit.exe állományt egy virtuális desktopon, majd beinjektálja magát a futó process-be
– létrehozza a G4Mjoohtaeckz nevű mutexet, így kerülve el a többszöri betöltődést
– megkeresi a Kazaa, az iMesh és a Grokster megosztott mappáit a következő Registry kulcsok átnézésével:
. HKEY_LOCAL_MACHINE/Software/Grokster/LocalContent
. HKEY_LOCAL_MACHINE/Software/iMesh/Client/LocalContent
. HKEY_LOCAL_MACHINE/Software/Kazaa/LocalContent
– bemásolja magát a megosztott könyvtárakba a következő file-nevek felhasználásával:
. Command and Conquer Generals No-CD patch (working).exe
. Diabolo 2 Keygen.exe
. Unreal Tournament 2003 No-CD.exe
. FixKlez.exe
. WarCraft III No-CD (all versions).exe
. Setup.exe
. Madonna Screensaver.exe
. Windows 2000 Serial.exe
. Winzip Serial.exe
. Half-Life No-CD Crack.exe
. StarCraft BW 1.10 No-CD Crack.exe
. Windows XP Crack.exe
– megkísérli leállítani azokat a futó process-eket, melyekben az alábbi sztringek valamelyike megtalálható:
. ccevtmgr
. ccapp
. persfw
. zone
. afee
. sym
. prot
. virus
. anti
. norton
– felmásolja magát a Windows könyvtárba Navapw32.exe és SBBServ.exe névvel
– hozzáadja a ScriptBBlocking=SBBServ.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– hozzáadja a NAV Agent=navapw32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– e-mailcímek után keres a következő kiterjesztéssel bíró file-okban: .html, .htm, .tmp, .bak
– amíg a fenti folyamat tart, a féreg letörli azokat az állományokat, melyekben a következő sztringek valamelyikét megtalálja:
. ccevtmgr
. ccapp
. persfw
. zone
. afee
. sym
. prot
. virus
. anti
. norton
– minden címre továbbja magát, az e-mailaccounthoz pedig a HKEY_CURRENT_USER/Software/Microsoft/Internet Account Manager/Accounts Registry kulcsban levő információkat használja fel
– megkísérli hozzáadni magát a System.ini állomány [boot] részlegéhez és a Win.ini file run= sorához
– a következő értékeket is módosíthatja terjedése érdekében:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Flags
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Parm1enc
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Parm2enc
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Path
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Remark
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Type