Magyar nyelvű vírus terjed

A vírus képeslapnak álcázza magát, a levélben található link azonban nem működik, a csatolt file megnyitásával a vírus aktivizálódik. A vírus Magyarországon szokatlanul gyorsan terjed, ami főként magyar nyelvének köszönhető.

˝Minden felhasználónak tanácsoljuk, hogy víruskeresőjüket frissítsék, és ismeretlen e-maileket ne nyissanak meg, se linkekre, se csatolt file-okra ne kattintsanak rá.˝ – tanácsolja Fehér Tamás, a 2F 2000 szakértője.

A levél hamisított feladóval érkezik, és az alábbi szöveget tartalmazza:
—————-
Tisztelt felhasználó!

Önnek képeslapja érkezett!
A képeslap feladója: Brigi
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellékelt internetlink kattintásával.

Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/
—————-

A weblink a levélben valójában hibás, a http után nincs kettőspont, ez feltehetően szándékos, hogy a csatolt mellékletet futtassa a felhasználó.

A melléklet neve:˝link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com˝,
ami egy futtatható állomány.
A féreg indítása után véletlenszerű névvel bemásolja magát a windows/system32 mappába, illetve gondoskodik a file automatikus indításáról egy Registry bejegyzés segítségével. A kulcs neve véletlenszerűen választott. HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

A féreg leállítja a következő futó process-eket:
. dfw.exe
. fsav32.exe
. fsbwsys.exe
. fsgk32.exe
. fsm32.exe
. fssm32.exe
. fvprotect.exe
. mcagent.exe
. navapw32.exe
. navdx.exe
. navstub.exe
. navw32.exe
. nc2000.exe
. ndd32.exe
. netarmor.exe
. netinfo.exe
. netmon.exe
. nmain.exe
. nprotect.exe
. ntvdm.exe
. ostronet.exe
. outpost.exe
. pccguide.exe
. pcciomon.exe
. regedit.exe
. regedit32.exe
. taskmgr.exe
. tnbutil.exe
. vbcons.exe
. vbsntw.exe
. vbust.exe
. vsmain.exe
. vsmon.exe
. vsstat.exe
. winlogon.exe
. zonalarm.exe
A fentiekből is látszik, hogy elsősorban a kártevő terjedését megakadályozni hivatott illetve a jelenlétét elárulni képes alkalmazások lezárására törekszik.

2004. május 1-én egy, a jelenlegi kormányzást bíráló magyar üzenetet jelenít meg a fertőzött számítógép kijelzőjén, melyben önmagát HAZAFI néven illeti.