Hálózati betörésvédelemnek álcázott féregvírus

A fertőzött e-mail paraméterei

Tárgy: Network Security
Csatolmány: Love_Me.bat
Tartalom: The latest in Network Security this program protects against hackers for the moment its freeware.

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 14.
Utolsó frissítés ideje: 2003. február 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 6.038 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a következő neveken, az alábbi helyekre:
C:/Love_Me.bat
C:/Windows/Love_Me.bat
– létrehoz egy rejtett könyvtárat, a C meghajtó gyökérkönyvtárában (Love_Me), majd oda bemásolja magát a következő neveken: Xcopy.TXT.bat, Edit.MP3.bat, Format.AVI.bat, CHDSK.ZIP.bat, Bootdisk.TXT.bat, Command.GIF.bat, Choice.JPEG.bat, Attrib.GIF.bat, Win.TXT.bat, System.dll.bat, Fdisk.JPEG.bat, MEM.GIF.bat, win32.TXT.bat
– létrehozza az alábbi állományokat (amennyiben létezik az adott könyvtár):
C:/Mirc/Script.ini
C:/Mirc32/Script.ini
C:/Progra~1/Mirc/Script.ini
C:/Progra~1/Mirc32/Script.in
– hozzáadja a következő sort a Win.ini file-hoz:
load=C:/Love_Me.bat
– hozzáadja vagy módosítja a HKEY_CURRENT_USER/software/Kazaa/LocalContent Registry kulcshoz/ban a következő értékeket:
DisableSharing dword:00000000
DownloadDir C:/Program Files/Kazaa/My Shared Folder
Dir0 012345:C:/
– a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main kulcs StartPage bejegyzésének értékét a következőre módosítja: http://naturalsex.org
– létrehozza a C meghajtó gyökerében a Love_Me.vbs állományt, mellyel továbbterjed Outlook segítségével