Microsoft EULA-nak álcázott féregvírus

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 24.
Utolsó frissítés ideje: 2003. február 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 155.648 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– megjelenít egy álüzenetet, amely hasonlít a Mircosoft EULA-jára (End User Licence Agreement)

This product is protected by copyright laws and international copyright treaties, as well as other intellectual property laws and treaties.

COPYRIGHT NOTICE.
Copyright
2003 Microsoft Corporation, One Microsoft Way,
Redmond, Washington U.S.A. All rights reserved.

– felmásolja magát a Windows könyvtárba az alábbi neveken:
Gibe.dll, Update.exe, [˝q˝ plusz hat véletlenszerűen válaszott szám].exe
– felmásolja magát a Temp könyvtárba a következő neveken: Update.exe, [˝q˝ plusz hat véletlenszerűen válaszott szám].exe
– létrehozza komponenseit a Windows könyvtárban:
DX3DRndr.exe: a 73.728 byte hosszúságú állomány teszi lehetővé Outlook segítségével a terjedést
MSBugAdv.exe: a 24.576 byte méretű file e-mailcímek után keres, majd azokat a MailViews.db-be rögzíti
MailViews.db: ez az állomány tartalmazza a megszerzett e-mailcímeket
WMSysDx.bin: ezen file egy URL-t foglal magában, ide próbál meg csatlakozni a féreg
– hozzáadja a DxLoad [Windows elérési útvonala]/DX3DRndr.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a Messenger Setup nevű alkulcsot a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Internet Settings Registry kulcsban
– a fenti alkulcshoz hozzáadja a következő értékeket:
Coded …by Begbie
Server Not found
Email Address Not found
Disp Name [egy, a féreg által választott string]
LookName [a Windows könyvtárban levő másolata a féregnek]