Állománytörlő féregvírus

A fertőzött e-mail jellemzői

Tárgy: MyFriend,How are you?
Tartalom: Please See The Attachment (Important)!
Csatolmány: a féreggel fertőzött állomány (változó névvel)

A féreg paraméterei

Felfedezésének ideje: 2004. április 6.
Utolsó frissítés ideje: 2004. április 8.
Veszélyeztetett rendszerek: Windows 9x/NT/2k/XP/Me/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja a rendszerre a csatolmányként érkező állományt, majd le is futtatja
– átnézi a C meghajtót EXE file-ok után, mindegyiket, amit talál (kivéve az iexplore.exe, a ccapp.exe és accregvfy.exe állományokat), megfertőzi, illetve hozzájuk illeszti az UssaShohhdi szöveget
– bemásolja a System könyvtárba az UssaShohhdi.vbs állományt, majd le is futtatja
– hozzáadja az UssaShohhdi?=1 bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/ Registry kulcshoz
– az Outlook segítségével megkísérli elküldeni magát az e-maikliens Address Bookjában található összes kontakt számára
– amennyiben a rendszerdátum 2004. májusa, vagy annál későbbi időpont, megjelenít egy üzenetet, és megkísérli letörölni a következő állományokat a C meghajtó gyökeréből: io.sys, msdos.sys, Command.com, Ntdetect.com
– Windows 9x/Me alatt a vírus ezt követően újraindítja a számítógépet (amivel működésképtelenné teszi az operációs rendszert), Windows 2k/XP/2k3 alatt kijelentkezik az adott felhasználó nevében