Meztelen hírességek egy képernyővédőben – vírusálca

A fertőzött e-mail tulajdonságai

Tárgy: Fwd:La Academia Azteca
Tartalom: La cacademia azteca (muy bueno) ¡no es virus!
Csatolmány: Academia.exe

A féreg paraméterei

Felfedezésének ideje: 2003. március 13.
Védekezés elkészültének ideje: 2003. március 14.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux
Mérete: 235.520 byte, 192.512 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megnyit egy alkalmazást, ami egy lövöldözős programnak tűnik
– felmásolja magát a System könyvtárba academia.exe, a Windows könyvtárába manzana.exe, valamint a Startup könyvtárba Itch.exe és Itcj.exe néven
– létrehozza a Windows könyvtárban a Mai.vbs állományt (ez mindössze 2 byte hosszú)
– felmásolja magát a következő helyekre:
[könyvtár, ahonnan a féreg futtatásra került]/KaZaA/My Shared Folder
[könyvtár, ahonnan a féreg futtatásra került]/Grokster/My Grokster
[könyvtár, ahonnan a féreg futtatásra került]/My Shared Folder
[könyvtár, ahonnan a féreg futtatásra került]/ICQ/shared files
– az alábbi neveken jelenik meg a felhasználó rendszerében:
Alessandra Ambrosia porn screen_saver.exe
Anna Kournikova porn screen_saver.exe
Britney Spears porn screen_saver.exe
Cameron Diaz porn screen_saver.exe
Charlize Theron porn screen_saver.exe
Christina Aguilera porn screen_saver.exe
Donna D´Erico porn screen_saver.exe
Halle Berry porn screen_saver.exe
Helena Christensen porn screen_saver.exe
Jenna Jameson porn screen_saver.exe
Jessica Alba porn screen_saver.exe
Karina Lombard porn screen_saver.exe
Kelly Hu porn screen_saver.exe
Kirsten Dunst porn screen_saver.exe
Kylie Minogue porn screen_saver.exe
Pamela Anderson porn screen_saver.exe
Salma Hayek porn screen_saver.exe
Sandra Bullock porn screen_saver.exe
Shakira porn screen_saver.exe
Stacey Keibler porn screen_saver.exe
– letörölheti azon állományokat, melyeknek kiterjesztése valamelyik a következők közül: .zip, .jpg, .gif, .mp3, .mpg, .dbf, .exe, .dll

A számítógép újraindítása után bekövetkező események

– az Itch.exe és az Itcj.exe lefutnak a Startup könyvtárból
– létrehozzák az alábbi Registry kulcsokat:
HKEY_CURRENT_USER/Software/VB and VBA Program Settings
HKEY_CURRENT_USER/Software/VB and VBA Program Settings/ezzey/vari
– Outlook segítségével továbbítja magát az összes kontakt számára, melyeket az Outlook Address Bookjából szedett ki
– létrehozza a Windows könyvtárban az Osiris.bmp (54.594 byte) és a Quiettime.bmp (327.222 byte) file-okat
– megváltoztatja a Windows wallpaperjét a fenti két állomány egyikére a Win.ini módosításával
– létrehozza a következő file-okat a My Document folderben:
Acafug.htm – 7.622 byte
Banamex.htm – 7.622 byte
Citibank.htm – 26.212 byte
Hotmail.htm – 10.072 byte
Msn.htm – 20.611 byte
Yahoo.htm – 15.382 byte
– a fenti állományok mind népszerű oldalak bejelentkező oldalát imitálják, pedig valójában kicsalják a felhasználó azonosítóját