Újabb karácsonyi féreg

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím

Tárgy: az alábbiak egyike:
– Happy X-mas to u!
– X-Mas Greeting!

Tartalom: a következők közül egy:
– I would like to say Happy X-Mas if you celebrate it and Happy New Year! Be matured not childish!
———————–
http:/ /www.makelovewithspam.com
– Forgive me if I have make some mistake and hope much better next year!
———————–
http:/ /www.makelovewithspam.com

Csatolmány: az alábbiak közül egy:
– santa_gif.zip
– present.zip
– scroll.zip
– attached.zip

Ezek az állományok az alábbi nevű file-okat tartalmazzák, .scr, .com, .pif vagy .bat kiterjesztéssel:
– santa_gif
– present
– scroll
– attached

A féreg paraméterei

Felfedezésének ideje: 2004. december 17.
Utolsó frissítés ideje: 2004. december 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 11.885 byte (.exe), 12.011 byte (.zip)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába sec5dec.exe néven
– létrehoz egy, a fenti file-ra mutató bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcsban
– amennyiben a fertőzött számítógép Windows 95/98/Me operációs rendszert futtat, hozzáadja a run=[System elérési útvonala]/sec5dec.exe bejegyzést a Win.ini állomány [windows] részéhez
– létrehozza a 251204 elnevezésű mutexet, így akadályozva meg, hogy a féreg több változata is betöltődhessen a memóriába
– önmagát saját SMTP-motorja révén továbbítja minden e-mailcímre, amelyet az alábbi kiterjesztéssel bíró file-okból szed össze:
.log
.html
.msg
.eml
.mht
.dbx
.asp
.php
.jsp
.htm
.txt