A célpontja által beszélt nyelvhez igazodó féregvírus

A fertőzött e-mail jellemzői

Tárgy: a következők egyike:
– RE: RE: FWD:
– Re: Message Error
– Re: Ihre Informationen
– Re: Bad Request
– MailerDaemon: Mail Delivery Failure
amennyiben német nyelvterületre megy a féreg (ezt a TLD-ből dönti el), a következők is szerepelhetnek itt:
– Anzeige wegen illegalem Mp3-Tausch
– du hast einen Trojaner auf deinem PC
– Du Idiot!!!
– ups, Ich habe Ihre Mail bekommen
– Ich hasse dich!!
– Achtung: Neuer Virus!!!
abban az esetben, ha angol nyelvterületre megy a féreg (ezt is a TLD-ből dönti el), az alábbiak is szerepelhetnek itt:
– illegal file sharing
– a trojan horse is on your PC
– you are an idiot
– ups, i´ve got your mail
– I hate you
– hi, its me

Tartalom: számos sémából válogathat, a levél vagy angol vagy német nyelvű szöveget tartalmaz

Csatolmány: a következők egyike:
– Pics.JPG.exe
– MailMessage.Msg.exe
– Filesharing_details.DOC.exe
– Trojan_removal_tool.exe
– Report.DOC.exe
– Documents.DOC.exe
– Removal_tool.exe

A féreg paraméterei

Felfedezésének ideje: 2004. június 13.
Utolsó frissítés ideje: 2004. június 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 255 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a következő file-okat a Windows könyvtárban: Win32config.exe, Win32apps3.txt, Kernel32.dll, Ntbtlog.txt; illetve az iphist.dat állományt, mely ott jelenik meg, ahol az eredeti féregfile is megtalálható
– hozzáadja a Win32Config=[Windows elérési útvonala]/win32config.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a helyi meghajtókon – e-mailcímek után kutatva – a következő állományokat nézi át: .doc, .txt, .wab, .rtf, .htm, .html, .dbx, .xml, .msg, .php, .cgi, .pst, .nk2
– a féreg ezt követően minden címre továbbítja magát a fent ismertetett formátumban, kivéve az alábbi sztringekkel rendelkezőket:
. VIRUS
. PESTPATROL
. KASPERSKY
. SOPHOS
. SYMANTEC
. NORTON
. AVP
. ANTIVIR
. FREEAV
. EWIDO
. F-SECURE
. MCAFEE
. NAI.COM
. BUSE@
. MICROSOFT
– megkísérli elérni a következő webcímeket:
. http://www.google.de
. http://www.hausaufgaben.de
. http://www.referate.de
. http://www.eselfilme.com
– megkísérli elérni a http://www.whatismyip.com URL-t, hogy megszerezze a helyi rendszer IP-címét