Bolondok napja féregvírus

A fertőzött e-mail jellemzői

Tárgy: az alábbiak közül egy:
– hello
– funny:)
– hi
– good day:)
– hehe
– game
– smallGame
– run it:)
– it´s a joke
– little game~~

Csatolmány: egyike a következőknek:
– funny.exe
– joke.exe
– hello.exe
– love.exe
– interesting.exe
– cat.exe
– dog.exe
– novel.exe
– new_jdk.exe

A féreg paraméterei

Felfedezésének ideje: 2005. április 7.
Utolsó frissítés ideje: 2005. április 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjelenít egy párbeszédablakot, melyben a következő üzenet olvasható: I´m sorry to trouble you, but It´s uselless to say sorry. Happy April Fools´ Day:)
– létrehozza önmaga másolatait a System könyvtárban syscon.exe és mschk.dll névvel
– ugyanitt létrehoz öt DLL állományt:
. Watcher.dll – a syscon.exe-t védi, folymatosan beírja a Registry módosításokat és megakadályozza a letörlést
. sysMon.dll – a féreg levelezőkomponensét tartalmazza
. syslog.dll – egy pufferként használt file
. atchk.dll
. sysmsg.dll
– a fentiektől eltérő állományneveket is használhat; néhány példa: chkrun.dll, dskchk.dll, msevent.dll, ipchk.dll, client.dll, servr.dll, netchk.dll, mssys.dll
– hozzáadja a “syscon” = “[System elérési útvonala]/syscon.exe” bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
– az “AppInit_DLLs” = “[System elérési útvonala]/Watcher.dll” bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcsban rögzíti
– további számos alkulcsot hoz létre a rendszerleíró adatbázisban
– a Windows Address Bookból kigyűjti az összes kontakt elérhetőségét, majd e-mailen a fent ismertetett karakterisztikában továbbítja magát