Játék Szaddam Husszeinnel – féregvírus!

A fertőzött e-mail paraméterei

Tárgy: egy elég bő listából választ véletlenszerűen egyet
Csatolmány: a következők egyike:
. Q349247.exe
. information.DOC.exe
. Saddam_Game.exe
. I_Love_U.exe
. NakedPics.JPG.exe
. FreeSex.exe
. B-ville.exe
. StockInformation.XLS.exe
. SecretFile.exe
. Attachement.exe

A féreg tulajdonságai

Felfedezésének ideje: 2003. április 11.
Utolsó frissítés ideje: 2003. április 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: 55.808 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a Windows könyvtárba:
. svchost.exe
. /Services/setup.exe
– létrehozza a 670 byte-os /Services/index.html állományt, mely maga nem fertőző
– létrehozza a Windows könyvtárban az msapi.exe, a System könyvtárban a winsyst32.exe file-okat, mely mindkettő 16.416 byte hosszú és UPX tömörített (ezt a Symantec víruskereső alkalmazásai Backdoor.Sdbotnak ismerik fel)
– hozzáadja az svchost [Windows elérési útvonala]/svchost.exe bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– hozzáadja a WinSyst32 winsyst32.exe bejegyzést az alábbi kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
– létrehozhatja az Explorer könyvtárat a Windows könyvtárban, és bemásolhatja magát oda, ha a Kazaa fel van telepítve; a következő neveken:
. Command & Conquer Generals.exe
. Command & Conquer Generals Crack.exe
. Gods & Generals.exe
. Gods & Generals Crack.exe
. The Sims 4.exe
. The Sims 4 Crack.exe
. Splinter Cell.exe
. Splinter Cell Crack.exe
. Raven Shield – Crack.exe
. Raven Shield Keygenerator – WORKS ONLINE.exe
. Mortal Kombat – Deadly Alliance.exe
. GTA 4 – BETA.exe
. Unreal 2 Crack.exe
. Unreal 2 – The Awakening.exe
. Warcraft III – The Frozen Throne.exe
– hozzáadja a következő bejegyzéseket a HKEY_CURRENT_USER/Software/KaZaA/Localcontent Registry kulcshoz:
Dir0 012345C:[Windows elérési útvonala]/explorer/
DisableSharing 0
– csökkenti a Kazaa biztonsági szintjét a ScanFolder 0x00000001 érték HKEY_CURRENT_USER/Software/KaZaA/Advanced kulcsban való módosításával, illetve a következő bejegyzésekkel:
AutoConnected 0x00000001
HKEY_CURRENT_USER/Software/KaZaA/UserDetails
Virus_filter 0x00000000
HKEY_CURRENT_USER/Software/KaZaA/ResultsFilter
– az inboxban levő összes levélre válaszol