X97M.Cian.C@mm – e-mailező makróvírus

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választ egyet az alábbiakból:
Here is that file
Important file
The file
Excel file
[a fertőzött dokumentum neve]
The file you wanted
Here is the file
Tartalom: The file I am sending you is confidential as well as important; so don´t let anyone else have a copy.
Csatolmány: egy fertőzött Excel táblázat

A makróvírus paraméterei

Felfedezésének ideje: 2003. február 12.
Utolsó frissítés ideje: 2003. február 12.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Microsoft IIS, Unix, OS/2
Mérete: egy Excel makró modulnyi
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megkísérli elrejteni kártevő műveleteit az Excel makróvírus védelmét szolgáló biztonsági beállításainak megváltoztatásával
– a letiltott toolbarok:
Tools>Macro
Tools>Macro>Security
Tools>Macro>Macros
Tools>Macro>Customize
View>Toolsbars
Format>Object
– exportálja kódját a System könyvtárba, Evade.gif néven
– megfertőzi a Microsoft Excel Personal template-et, a Personal.xls-t; ennek révén minden Excel indításkor elindul a makróvírus is
– létrehozza a HKEY_CURRENT_USER/Software/Zed/[rRlf]/VBS/Evade/RecordContacts Registry kulcsot
– amennyiben egy e-mailt elküldött, azt felviszi ebbe a kulcsba, így minden címre csak egyszer továbbítja magát
– a Windows Address Bookjából kinyert kontaktok számára továbbítja magát a fent ismertetett karakterisztikában
– létrehozza a System könyvtárban a Winstart.vbs állományt, amely a VBS.Cian.C@mm féreg komponenseit tartalmazza
– létrehozza a winstart wscript.exe [System elérési útvonala]/winstart.vbs %1 bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban