Féregvírusos levél érkezik a ˝Microsoft Supporttól˝

A fertőzött e-mail tulajdonságai

Feladó: Microsoft Support
Tárgy: Hotmail Account Confirmation
Tartalom:
Dear Sir or Mam,
Thanks for Confirming your Account Deletion with Hotmail Support.
Your Account will be Terminated in One week.
Check the Attachment for more information!
Csatolmány: Windows.exe

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 3.
Utolsó frissítés ideje: 2003. szeptember 3.
Veszélyeztetett rendszerek: Windows 9x/Me
Nem érintett rendszerek: Windows 3.x/NT/2k/XP, Macintosh, UNIX, Linux, OS/2
Mérete: 40.960 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a rendszerre a következő neveken:
. C:/Windows/Start Menu/Programs/Startup/SydneyLove.exe
. C:/Documents and Settings/All Users/Start/SydneyLove.exe
. C:/Windows/SydneyLoves.exe
. C:/Windows/SydneyLoves.dll
. C:/Windows/WinSys.dll
. C:/Windows/Windows.exe
. C:/Windows/Rundlls.exe
. C:/Windows/System/Rundlls.exe
– létrehozza a C meghajtó gyökerében az Iloveyou.vbs állományt (ezt a Symantec antivírus termékek VBS.LoveLetter.CI-nek ismerik fel)
– módosítja a Win.ini állományt, hozzáadva a [windows] rész Run= sorához a következőt: [Windows elérési könyvtára]/Rundlls.exe
– módosítja a C:/Autoexec.bat állományt, hogy a kártevő minden rendszerinduláskor maga is futtatásra kerüljön
– létrehoz a C meghajtó gyökerében egy text file-t, a ILuv.txt-t, ami a következő szöveget tartalmazza: You I love He I don´t
– az Outlook Address Bookjából összeszedi az e-mailcímeket, majd mindegyikre továbbítja magát a kliens használatával
– megkísérel DoS-támadást kivitelezni egy előre meghatározott website ellen