Féreggel fertőzött a ˝vírusellenőrzött˝ e-mail

A fertőzött e-mail jellemzői

Tárgy: Fun game!
Tartalom: Hello,
Please see the attachment! I scanned it for viruses before I sent it out. it´s a really cool game!
Scanned with Norton Anti-Virus
Csatolmány: flash-game.exe

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 29.
Utolsó frissítés ideje: 2003. szeptember 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy üzenetet, melyben azt közli a számítógép használójával, hogy a Space Raiders 3D telepítését végzi a program; illetve ne állítsa le a felhasználó a PC-t, különben sérülhetnek a rendszerfile-ok
– felmásolja magát a gyökérkönyvtárba Setup.exe néven
– létrehozza a következő, nem veszélyes állományokat ugyanitt:
. comctl32.ocx (608.448 byte)
. comdlg32.ocx (140.096 byte)
. mswinsck.ocx (109.248 byte)
. richx32.ocx (203.576 byte)
– bekerül a féreg a gyökérbe flash-game.exe (vagy shost.exe) néven, majd futtatja is az állományt
– ezek után hozzáadja a hellodolly=shost.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– e-mailcímeket keres azon állományokból, melyek a következő kiterjesztéssel rendelkeznek: .txt, .htm, .csv, .doc, .rtf, .php, .html
– saját SMTP-motorja révén továbbterjeszti magát