Ismeretlen víruskeresők – legyünk résen!

A fertőzött e-mail tulajdonságai

Tárgy: Update your Anti-virus Software
Tartalom: Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol)
Csatolmány: Taskman.exe

A féreg paraméterei

Felfedezésének ideje: 2002. október 23.
Védekezés elkészültének ideje: 2002. október 24.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 45.056 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– az alábbi helyekre másolja fel magát:
C:/Autoexec.exe
C:/Windows/Screensaver.exe
C:/Windows/System/Avupdate.exe
C:/Program Files/Uninstall.exe
C:/Program Files/Kazaa/My Shared Folder/Ipspoofer.exe
C:/Program Files/Kazaa/My Shared Folder/Virtual Sex Simulator.exe
C:/Program Files/Bearshare/Shared/Ipspoofer.exe
C:/Program Files/Bearshare/Shared/Virtual Sex Simulator.exe
C:/Program Files/Edonkey2000/Incoming/Ipspoofer.exe
C:/Program Files/Edonkey2000/Incoming/Virtual Sex Simulator.exe
– saját magával írja felül a következő állományokat:
C:/Windows/Taskman.exe
C:/Windows/Notepad.exe
– létrehozza a C:/Pr0n.bat file-t, amely minden .jpg, .mpg, .bmp és .avi kiterjesztésű állományt letöröl, ha azok a következő helyeken megtalálhatók:
C:/Program Files/Kazaa/My Shared Folder
C:/Program Files/Bearshare/Shared
C:/Program Files/eDonkey2000/Incoming
– hozzáadja a AVupdate C:/Windows/System/AVupdate.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– ha a C:/mIRC vagy a C:/Program Files/mIRC könyvtár létezik, akkor a féreg felülírja vagy létrehozza a Script.ini állományt, így IRC-n keresztül is képes terjedni
– az Outlook Address Bookjában található összes e-mailcímre továbbítja magát a fent ismertetett karakterisztikában