Winamp 6 plugin? Valójában féreg

A fertőzött e-mail jellemzői

Tárgy: néhány példa:
– Re: 666
– Re: I Gey
– Re: FUCK YOU!
– Re: Meeting of gays
– Me email
– Hotmail password
– Re: Crack
– Chat notify!
– Your Dead!
– The Cannabis

Tartalom: német és angol nyelvű szöveg lehet, néhány példa:
– All right..
– >Thank you..!
– Agreed…
– I will come well.
– Successes..
– Congrulate..!
– Danke..
– Habel sich vereinbart..
– Gut werde ich.

Csatolmány: …sCR, _..ScR, +.sCR+.sCR vagy .+.scR kiterjesztésű, néhány file-név:
– data
– readme
– info
– text
– price
– postmaster
– Like
– Note
– misk
– Den Text
– des Einzelteil
– die Mitteilung

A féreg paraméterei

Felfedezésének ideje: 2005. április 8.
Utolsó frissítés ideje: 2005. április 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 7.856 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba regedit.com, a System/Microsoft mappába iexplore.exe névvel
– hozzáadja a következő szöveget a System.ini [boot] részéhez: Shell=Explorer.exe [System elérési útvonala]/Microsoftiexplore.exe
– módosítja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/WOW/boot kulcs shell értékét a következőre: [System elérési útvonala]/Microsoft/iexplore.exe
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– az Outlook Address Bookjában és a helyi meghajtókon (C-Z) kutat e-mailcímek után
– e-mailen elküldi magát a fenti módszerrel megszerzett e-mailcímekre (néhány kivételtől eltekintve)
– olyan könyvtárakat keres a merevlemezen, amelyek tartalmazzák a share sztringet; ide bemásolja magát a következő nevek valamelyikének felhasználásával:
– Land Attack(source and files).exe
– DDoS bot(src)..scr
– Forum Hack.txt.scr
– Winamp 6(plugins).exe
– Crack collection.scr
– NLP.scr
– Hack Unix Server(info).scr
– Screensaver for Hackers.scr
– Windows 2000(source code).scr
– hack Chat.exe
– Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe