Futthatható állományokat tönkretevő féregvírus

A fertőzött e-mail jellemzői

Tárgy: Hi Friend
Tartalom: Please See The Attachment
Csatolmány: változó

A féreg paraméterei

Felfedezésének ideje: 2003. december 4.
Utolsó frissítés ideje: 2003. december 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 221.204 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a C meghajtó gyökerében a Femail.vbs állományt, mely tulajdonképpen egy Visual Basic script, ami az Outlook Address Bookjából kiszedett kontaktok számára e-mailben továbbítja magát
– hozzáadja a MeMeMasr?=1 értéket a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion Registry kulcshoz, amelyet fertőzési jelzőnek használ; amennyiben már megvolt itt ez az érték, leállítja működését
– megjeleníthet egy arab nyevlű szöveget, majd átnézi a C meghajtót EXE file-ok után
– minden .exe állománynak a végére biggyeszti a ShohdiEmail stringet, így a fertőzött állományok mérete 45.076 byte hosszúságúra növekszik; ez alól a következő file-ok a kivételek:
. mindegyik, amelyik olyan könyvtárban van, melynek neve tartamazza a windows, system szavakat
. a C meghajtó gyökerében levők
. az Iexplore.exe, a ccAPP.exe vagy a ccRegVfy.ex
– a módosított állományok többé nem használhatóvá válnak