Merevlemez-formázó féregvírus!

A fertőzött e-mail paraméterei

Tárgy: több variációból választhat, erre néhány példa:
IMPORTANT DISCUSSION!
NICE TO MEET YOU!
Hello man!
Hi! 😉
Good Idea For ya!
Hey, how are you?
Who´s should be attacked first?
No More Blood!
HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
Tartalom: Hello Mr/Mrs/Sir/Mdm, [címzett neve]
I have an Idea for you, This will make your business more efficient. To download this important tips just click here [egy, a Weben található futtatható állomány linkje] or you can downloaded the files from an attachment.

Regard,
Alexander Joshia
Executive Manager of DAA Holding
Csatolmány: Tca.exe

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 10.
Védekezés elkészültének ideje: 2003. február 10.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a StartUp és a Windows Application Data könyvtárába Axam.exe néven
– felmásolja magát az alábbi neveken a következő helyekre (ha azok léteznek):
C:/Program Files/KMD/My Shared Folder/Axam.exe
C:/Program Files/Kazaa/My Shared Folder/Invisible_man.exe
C:/Program Files/KaZaA Lite/My Shared Folder/AjeedNASA.exe
C:/Program Files/Morpheus/My Shared Folder/Blaster.exe
C:/Program Files/Grokster/My Grokster/XXX_HOTSEX.exe
C:/Program Files/BearShare/Shared/Fxbgbear.exe
C:/Program Files/Edonkey2000/Incoming/Setup_flash.exe
C:/Program Files/limewire/Shared/Super Mario.exe
– a HKEY_CLASSES_ROOT/.exe Registry kulcs default értékét exefile-ről Spitmaxa-ra változtatja, ennek köszönhetően minden alkalommal a féreg kerül futtatásra, ha a felhasználó elindít egy EXE állományt
– létrehozza a HKEY_CLASSES_ROOT/Spitmaxa Registry kulcsot
– hozzáadja a sysaxam32 [Windows elérési útvonala]/Application Data/Axam.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja az autoexec.bat file-t úgy, hogy újraindítás után az leformázza a C és a D meghajtót Windows 9x/Me alatt
– Microsoft Outlook révén is képes tovaterjedni, a fent ismertetett karakterisztikában
– képes leállítani számos behatolásvédelmi szoftver futó processét
– megjelenít egy ázsiai hackereket éltető üzenetet