Többszörös fertőzés egy féregvírusban

A féreg paraméterei

Felfedezésének ideje: 2002. november 18.
Védekezés elkészültének ideje: 2002. november 20.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 100.352 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti az Error loading RCDATA szövegű álhibaüzenetet
– egy véletlenszerűen generált alkönyvtárba, amit a Windows mappában hoz létre, a féregben előre letárolt nevek egyikén létrehozza önmaga másolatait; néhány példa:
Borland delphi 6 enterprise.exe
Windows XP Pro with cd key.exe
Adobe photoshop 7.exe
Norton firewall 2002.exe
Porno slideshow.gif.exe
Star wars episode 2.mpg.exe
Soldier Of Fortune 2 full iso.exe
The Matrix Reloaded MOVIE.exe
Warcraft 3 full iso.exe
– a következő Registry kulcs után kutat: KEY_LOCAL_MACHINE/Software/KAZAA/CloudLoad, ha ezt megtalálta, akkor a Dir0 ˝012345:C:/[Windows elérési útvonala]/[a véletlenszerűen generált alkönyvtár neve] bejegyzést létrehozza a HKEY_CURRENT_USER/Software/Kazaa/LocalContent kulcsban
– a System könyvtárban létrehozza a következő trójai programokat:
Srv_capture.dll
Srv_funstuff.dll
Srv_multimedia.dll
Srv_portscan.dll
Srv_pwinfo.dll
Winapi32.exe
– a legutolsó állomány a Lithium nevű trójai program, a többi pedig a Trojan nevű backdoor
– amennyiben a Lithium ezen változata fut, hozzáadja a WinAPICalled winapi32.exe értéket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz