Visszatért a Mydoom féregvírus

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
. [üres]
. test
. hi
. hello
. Mail Delivery System
. Mail Transaction Failed
. Server Report
. Status
. Error

Tartalom: az alábbiakból választ egyet:
. Mail transaction failed. Partial message is available.
. The message contains Unicode characters and has been sent as a binary attachment.
. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
. test

Csatolmány: egy vagy két kiterjesztéssel (.pif, .scr, .exe, .cmd, .bat, .zip) bíró állomány, mely az alábbi nevek egyikén érkezhet:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text

A féreg paraméterei

Felfedezésének ideje: 2004. április 15.
Utolsó frissítés ideje: 2004. április 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 44 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza az svhost.exe állományt a System könyvtárban s egy véletlenszerű adatokat tartalmazó Message nevű file-t a Temp könyvtárban; ezt megnyitja Notepaddel
– hozzáadja az SVHOST=[System elérési útvonala]/svhost.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a még az A változata által a fenti Registry kulcshoz hozzáadott TaskMon bejegyzést
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: adb, asp, dbx, htm, php, pl, sht, tbb, txt, wab
– a fent ismertetett karakterisztikában továbbítja e-mailen magát saját SMTP motorja révén