Magát Internet Explorernek álcázó féregvírus

A fertőzött e-mail jellemzői

Feladó: a következő hostok neveit használja, véletlenszerűen generált feladónévvel: email.com, Earthlink.net, Roadrunner.com, yahoo.com, msn.com, hotmail.com
Tárgy: I Love You ^_^ I sent you a beautiful Love Card
Tartalom: To see your Card, Please open the attachment

If you want to send a reply, please visit
http://www.Love-card.com/Love/index.html

Thank You…
Csatolmány: BlueMountaineCard.pif

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 21.
Utolsó frissítés ideje: 2003. augusztus 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 22.528 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba iexplorer.exe névvel
– hozzáadja a sysconfig=iexplorer.exe bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– amennyiben a megfertőzött rendszer Windows 9x vagy Millennium Edition, a féreg service process-ként regisztrálja magát, így a Program bezárása párbeszédablakból eltűnik
– belép egy IRC-csatornára és értesíti a kliens oldalt, majd parancsokra vár
– saját SMTP-motorja révén továbbítja magát e-mailen keresztül, meghamisítva a feladót

A féreg trójai része által kínált lehetőségek

– hálózati és rendszerinformációk megszerzése és továbbítása
– file-ok letöltése és futtatása
– a feltelepített féreg dinamikus frissítése
– a féreg IRC-n való terjesztése
– e-mailezési funkció beindítása
– a férget tartalmazó e-mail küldése bármelyik e-mailcímre