Feltört Windows XP – próbálja elhitetni a féregvírus

A féreg paraméterei

Felfedezési ideje: 2002. augusztus 29.
Utolsó frissítés ideje: 2002. augusztus 30.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 68.096 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– megkeresi, van-e a rendszerre Windows Debugger telepítve, amennyiben van, kilép; ha nincs, aktiválja magát
– december 25-én megjelenteti a Today is Christmas day !! Yah ?? – Santa Claus [–Nautical–] szöveget
– felmásolja magát a System könyvtárba a következő nevek egyikén: NTDLL.exe, Win32.exe, Explore.exe, Kernel32.exe, krnl286.exe, Dllhost32.exe, MSTCP.exe, CRSS.exe, Winlogon32.exe, Winsrvc.exe, Ntoskrn.exe, Vmm32.exe, Sysmon.exe, System32.exe, Sys.exe, Win.exe, Rundil32.exe, Msrvcp.exe, Msgmsr.exe, Mscde32.exe, Regsvclib.exe, Reg32.exe, Registry32.exe, Service.exe, Rpcsrvc.exe
– leellenőrzi, hogy a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion Registry kulcs Nautical bejegyzésének értéke 1-gyel egyenlő-e, amennyiben nem a következő módosításokat végzi el a Registry-ben:
– hozzáadja a Run / bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows kulcshoz
– hozzáadja a System32 / bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– hozzáadja a WinSys / bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– hozzáadja a Msgsvc32 / bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– hozzáadja a run=/ sort a Windows könyvtárban található Win.ini file-hoz
– mikor mindezzel végzett, a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion Registry kulcsban található Nautical bejegyzés értékét 1-re állítja
– létrehoz és megoszt könyvtárakat a System, a Windows vagy a Program Files mappában a következő neveken: Porn Stuff, My Personal Stuff, Softwarez, Cracrs_Serials, Private – Do Not Enter, Mp3z, Misc Stuff, Fun Stuff, Pics, Xxx Movies, Full Vcds, Top Secret, My Projects, Funny Pictures, Nude Pics
– bemásolja magát ezen könyvtárakba olyan csalóka neveken, hogy a felhasználó rákattintson ezekre, néhány példa:
Windows XP Crack.exe, Warcraft III Trainer (Cheats).exe, Norton Antivirus 2003 Installer.exe, Bikini Girls.exe, Halflife Patch.exe, Funny Screensaver.exe, Hack Hotmail Account.exe, Age of Empires II_Keygen(Serial).exe, Warcraft III – Crack.exe, Winzip 8.2 (Beta 3) Full Version Installer.exe, Playboy_Screensaver_Install.exe
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/ Registry kulcsba beírja a Flags, Parm1enc, Parm2enc, Path , Remark, Type bejegyzéseket
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion kulcs Nautica bejegyzésének értékét 1-re változtatja
– rendelkezik trójai tulajdonságokkal is, két parancsot ismer: EJECT, UNLOAD; a következő portok egyikén figyel parancsra: 335, 2281, 5679, 9148