Féregvírus microsoftos e-mailcímről

A fertőzött e-mail jellemzői

Feladó: Microsoft [security@microsoft.com] – ez természetesen meg van hamisítva
Tárgy: Use this patch immediately !
Tartalom: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Csatolmány: patch.exe

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 16.
Utolsó frissítés ideje: 2003. augusztus 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9.216 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba dllreg.exe; a System könyvtárba load32.exe és vxdmgr32.exe néven
– létrehozza a Windows könyvtárban a windrv.exe (8.192 byte) file-t, ami egy trójai program; ez lehetővé teszi a féreg készítőjének a kiszolgáltatott rendszer feletti uralom átvételét
– ugyanitt létrehozza a winload.log állományt, ahol a megszerzett e-mailcímeket tárolja
– hozzáadja a load32 = [Windows elérési útvonala]/load32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a win.ini file-t (Windows 95/98/Me alatt):
[windows]
run=[Windows elérési útvonala]/dllreg.exe
– módosítja a system.ini file-t (Windows 95/98/Me alatt):
[boot]
shell=explorer.exe [System elérési útvonala]/vxdmgr32.exe
– a következő kiterjesztéssel bíró állományokban e-mail címeket keres: .htm, .wab, .html, .dbx, .tbb, .abd
– saját SMTP-motorja révén továbbítja magát