Emberi nyelvekhez igazodó féregvírus

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: egy Re: előtaggal kezdődő, a címzett TLD-jének megfelelő nyelvű rövid üzenet (.it esetén documento, .tc esetén belge stb.)

Tartalom: a címzett TLD-jének megfelelő nyelvű, pár szavas üzenet

Csatolmány: a tárgy neve Re: előtag nélkül, .pif kiterjesztéssel

A féreg paraméterei

Felfedezésének ideje: 2004. április 20.
Utolsó frissítés ideje: 2004. április 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 26.112 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba FirewallSvr.exe néven
– létrehozza a ____—>>>>U<<<<--____ ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– hozzáadja a FirewallSvr=[Windows elérési útvonala]/FirewallSvr.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a Windows könyvtárban létrehozza önmagának MIME-kódolt változatát fuck_you_bagle.txt névvel
– a 82-es TCP porton hallgatózik, s amennyiben a támadó EXE file-t küld, lefuttatja
– amennyiben a rendszerdátum 2004. április 28-a és 30-a közé esik, a féreg DoS-támadást kísérel meg a következő weboldalakkal szemben:
. www.nibis.de
. www.medinfo.ufl.edu
. www.educa.ch
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre és a hukanmikloiuo@yahoo.com e-mailcímre