W32.Duksten.C@mm – féregvírus elrontott kóddal

A fertőzött e-mail tulajdonságai

Feladó: ˝VicenteF˝
Tárgy: os envio a todos esta postal pero…
Tartalom: no la abrais delante de vuestra novia…je je je
Csatolmány: PoXtal.zip

A féreg paraméterei

Felfedezésének ideje: 2002. december 20.
Védekezés elkészültének ideje: 2002. december 20.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 10.752 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba SysTrayEx.exe néven (a file nagyon hasonlít a Systray.exe-re, de nem az!)
– hozzáadja a SystemTrayExtended SysTrayEx.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli letörölni a Registry Editort, de az elrontott kód miatt nem képes erre
– megjelenít egy spanyol nyelvű üzenetet
– létrehozza az alábbi állományokat a System könyvtárban:
H_base64.xrf: a féreg MIME64-dekódolt vírustörzse
H_prgrm.zip: ez tartalmazza magában a vírust
H_wab.xrf: ebben tárolja a Windows Address Bookjában levő kontaktokat
– megkeresi a Registry-ben az alapértelmezett e-mail accountot, az SMTP szervert és a POP3-as felhasználónevet valamint az SMTP e-mailcímet
– továbbítja magát e-mailen a fent ismertetett karakterisztikában