Boldog új évet kívánó féreg

A fertőzött e-mail tulajdonságai

Feladó: az alábbiak egyike:
– godfather@hotmail.com
– alex@hotmail.com
– George@gmail.com
– marija@hotmail.com
– mary13@gmail.com
– cutie88@ogrish.com
– BARBARA@hotmail.com
– Jane78@hotmail.com
– britany56@sex.com
– michael77@gmail.com
– admirer12@yahoo.com
– funyblock@hotmail.com
– tit_fuck_909@paltalk.com
– barby56@aol.com
– Jane44@download.com

Tartalom: az alábbiak közül egy:
– HAPPY NEW YEAR!!!

All the best in new year from our family
here is a litle attachment to make you smile in new year
email me back haha…

– MARY CHRISTMAS from our family

All the best in new year and christams from our family
i was lauging like mad when i saw it! 😀

Csatolmány: attached.zip, ami a következő file-ok valamelyikét tartalmazza:
– Sexy_new_year.scr
– HOT_NEW_YEAR.scr
– Marry_christmas.scr
– with_love.scr
– From_my_hart.scr
– new_year.scr
– Hot_new_year.scr

A féreg paraméterei

Felfedezésének ideje: 2005. január 13.
Utolsó frissítés ideje: 2005. január 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 327.168 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba xxz.tmp névvel
– létrehozza a következő file-okat ugyanitt:
• attached.zip
• ANSMTP.DLL
• bszip.dll
• newyear.jpg
• vb6.exe (W32.Randex variáns)
– hozzáadja a vb6=vb6.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
– megnyit egy böngészőablakot és megjeleníti a System könyvtárban található newyear.jpg állományt, ami meztelen modelleket ábrázol
– saját SMTP-motorját beregisztrálja az alábbi Registry kulcsok létrehozásával:
. HKEY_CLASSES_ROOT/ANSMTP.MassSender
. HKEY_CLASSES_ROOT/ANSMTP.MassSender.1
. HKEY_CLASSES_ROOT/ANSMTP.OBJ
. HKEY_CLASSES_ROOT/ANSMTP.OBJ.1
. HKEY_CLASSES_ROOT/CLSID/{253664FB-EDFC-4AC6-BD69-B322F466AEED}
. HKEY_CLASSES_ROOT/CLSID/{887A577B-406B-48FF-80CB-70752BFCD7B4}
. HKEY_CLASSES_ROOT/TypeLib/{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
. HKEY_CLASSES_ROOT/Interface/{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
. HKEY_CLASSES_ROOT/Interface/{1E98666F-6260-42C9-B846-32B20FDEFE7B}
. HKEY_CLASSES_ROOT/Interface/{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
. HKEY_CLASSES_ROOT/Interface/{B13281CF-8778-4C98-AE23ABBA4637A33D}
– a következő kiterjesztéssel bíró file-okból összegyűjti az e-mailcímeket: .wab, .adb, .tbb, .dbx, .asp, .php, .htm, .ht, .sht, .txt, .doc
– elküldi magát minden címre, amit talált, kivéve azokat, melyekben az alábbi stringek valamelyikét megtalálja:
• adaware
• nod32
• trendmicro
• avguk
• grisoft
• pandasoftware
• sophos
• .gov
• symantec
• lavasoft
• mcafee
• kaspersky
– megkísérli leállítani a rendszervédelmi szoftverekkel kapcsolatos futó process-eket