Véletlenszerűen generált e-mailcímeken át terjedő féregvírus

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
– test
– hi
– hello
– Mail Delieery System
– Mail transaction Failed
– Server Report
– Status
– Error

Tartalom: egy több elemű listából választ egyet:
– test
– Mail transaction failed. Partial message is available.
– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Csatolmány: egy bat, cmd, exe, pif, scr vagy zip kiterjesztésű állomány, a file az alábbi nevek egyikén érkezhet:
– document
– readme
– doc
– body
– text
– file
– data
– test
– messge
– body

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 9.
Utolsó frissítés ideje: 2004. szeptember 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 17 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a System mappába taskmon.exe névvel
– létrehozza a Temporary könyvtárban a Message állományt, melyet aztán meg is nyit Notepaddel
– létrehozza az SwebSipcSmtxS1 nevű mutexet
– létrehozza a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version Registry kulcsot
– letölt vsvbvvsq.exe néven egy file-t egy előre meghatározott weboldalról, majd le is futtatja azt
– a C-Y meghajtókon található, a következő kiterjesztéssel bíró állományokból begyűjti az összes e-mailcímet: adb*, asp*, dbb*, dbx*, htm*, php*, pl, sht*, txt, wab
– a Windows Address Bookjából is kiszedi az ott eltárolt e-mailcímeket
– gyakran használt neveket alkalmazva véletlenszerűen generál e-mailcímeket azon domainekre, melyeket a fertőzött számítógépen e-mailcím keresés közben megtalál
– saját SMTP-motorja révén továbbítja magát a fenti címekre