VBS.Corica@mm – többnyelvű féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: Hi
Csatolmány: Microsoft.vbs
Tartalom: Please open the attachment is very important.

A féreg paraméterei

Felfedezésének ideje: 2002. szeptember 26.
Védekezés elkészültének ideje: 2002. szeptember 27.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 4.286 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepes

Aktiválódása esetén lezajló események

– megváltoztatja az Internet Explorer home page beállítását egy latin-amerikai website-ra
– felmásolja magát a Windows könyvtárba Microsoft.vbs néven és ennek a file-nak rejtett attributumot állít be
– erre a file-ra mutató értéket ad hozzá a HKEY_CURRENT_USER/AutoSetup/Startup Registry kulcshoz
– létrehozza a Windows könyvtárban a Microsoft.txt állományt és két sornyi Morze-kódot ír bele
– a HKEY_CLASSES_ROOT/VBSFile/Shell/Edit/Command Default értékét Notepad.exe c://Microsoft.txt -re módosítja; így a Morze-kód minden alkalommal feltűnik, amikor a felhasználó egy VBS állományt szerkeszteni kíván(na)
– a C:/Windows/Applications Data/Microsoft/Internet Explorer/Desktop.htt file-hoz hozzáfűz egy sort, melynek révén a Desktopon a böngésző homepage beállítása jelenik meg
– a desktop default hátterének beállítása érdekében módosítja a következő két Registry kulcsot:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Desktop/General/Wallpaper
HKEY_USERS/.DEFAULT/Software/Microsoft/Internet Explorer/Desktop/General/Wallpaper
– ellenőrzi a beállított nyelvet, és attól függően küldi el magát e-mailben (a cikk elején az angol változat található)
– hozzáadja a Registry-hez a következő kulcsot: HKEY_CURRENT_USER/AutoSetup/Land, majd ennek értékét Costa Rica-ra állítja