Prophecy.Worm – vírushordozó féreg

A fertőzött e-mail tulajdonságai

Tárgy: I Finally Found it!
Csatolmány: Prophecy.exe
Tartalom: Maby the prophecy will come true for you.

A féreg paraméterei

Felfedezési ideje: 2002. augusztus 9.
Utolsó frissítés ideje: 2002. augusztus 12.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Macintosh, Unix, Linux
Mérete: 9.499, 403, 1286, 566, 1057, 101 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– bemásolja magát a C meghajtón levő Windows könyvtárba Prophecy.exe néven
– létrehozza a C:/Windows/All Users/Start Menu/Program/StartUp könyvtárban a következő Visual Basic Scripteket: Startup1.vbs, Startup2.vbs, Startup3.vbs
– mIRC-en keresztül is képes terjedni az IRC-kliens Script.ini file-jának átírásával

A Startup1.vbs működése

– ellenőrzi, hogy a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion Registry kulcsban megtalálható e a prophecy bejegyzés, ha nem, akkor az Outlook Address Bookjában található összes bejegyzésre elküldi magát a fent ismertetett karakterisztikában
– a prophecy értékét Microsoft Windows-ra állítja

A Startup2.vbs működése

– ha a hónap első, 10. vagy 15. napja van, akkor megjeleníti a cikk végén látható üzenetet
– létrehozza a C:/Windows/Favorites/Prophecy.URL linket, amely a http://www.avp.au/ címre mutat

A Startup3.vbs működése

– létrehoz egy véletlenszámot (0 és 5 között), ha ennek értéke 1 lesz, akkor létrehozza a következő két állományt: C:/Windows/Turn.dll és C:/Windows/DosStart.bat
– a batch file a DLL-t .com kiterjesztésűre konvertálja (Turning.com), majd futtatja
– ez a DOS-os vírus a vele egy könyvtárban levő .com file-ok első 101 byte-ját átírja