W32.Deltad.A@mm – Windowst kiszolgáltató féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: SAP UPDATE
Tartalom: All:
Please update your system.
DGSAP
Csatolmány: WWW.DGSAP.DELTADG.COM.EXE

A féreg paraméterei

Felfedezésének ideje: 2002. szeptember 17.
Védekezés elkészültének ideje: 2002. szeptember 19.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 221.184 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepes

Aktiválódása esetén lezajló események

– a Server.exe és a System.txt.vbs állományt másolja fel a System és a Windows könyvtárakba
– a desktopra és a C gyökerébe is felviheti a WWW.Dgsap.Deltadg.com.exe állományt
– hozzáadja a következő két értéket:
winserver /Server.txt.vbs
server /Server.exe
a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a server /Server.exe
bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/Admin$ Registry kulcs alatt is eszközöl pár módosítást, ennek révén a Windows könyvtár Admin$ néven jelszavas megosztásra kerül
– megkísérli az Internet Explorer és az Outlook biztonsági szintjét lejjebb venni (Registry módosítással)
– megkísérel megnyitni egy website-ot
– az első rendszerindítás után e-mailt küld az Outlook Address Bookjában található összes címre a fent ismertetett karakterisztikában
– ezután létrehoz egy Registry kulcsot, így az e-mail küldést csak egyszer teszi meg