VBS.Krim.C – merevlemez formázó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2002. október 20.
Védekezés elkészültének ideje: 2002. október 22.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 12 KB
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a System könyvtárba két file-ban is felmásolja magát, ezek: WinLoader.vbs, Valentina.vbs
– hozzáadja a WinLoader /WinLoader.vbs bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– minden meghajtó (ide értve a rendszer merevlemezeit, cserélhető médiás meghajtóit stb.) gyökerébe bemásolja magát Valentina.jpg.vbs néven
– létrehozza a Valentina.htm állományt a System könyvtárban, ez a féreg HTML verziója; megkeresi az összes .htm file-t és abba belefűzi a következő taget:
– létrehozza a Valentina.log állományt a System könyvtárban
– felülírja a VBS és VBE file-okat
– megkeresi a TXT és az MP3 állományokat és mindegyik mellé létrehoz egy ugyanolyan nevű állományt egy VBS kiegészítéssel ellátva
– minden batch állományhoz hozzáfűzi a következő szöveget: Rem Valentina I Love You
– létrehozza a Script.ini file-t a C:/Mirc könyvtárban, így képes az IRC-n keresztül is szaporodni
– minden október 10-én generál egy véletlenszámot (1 és 10.000 közötti tartományban), ha ez a szám 1 lesz, akkor felülírja az autoexec.bat állományt úgy, hogy a következő rendszerindításkor formázza a merevlemezt és indítsa újra a számítógépet
– ugyaneme napon generál egy 1 és 500 közé eső véletlenszámot, ha ez 7, akkor az összes DOC állományt letörli a fertőzött rendszerről
– február 14-én az alábbi szöveget jeleníti meg:
***VALENTINA I LOVE YOU***