Rendszerleállító, file-törlő féreg

A fertőzött levél tulajdonságai

Tárgy: Re: Hello
Tartalom: Hey There 🙂
Csatolmány: Hello.vbs

A féreg paraméterei

Felfedezésének ideje: 2005. január 31.
Utolsó frissítés ideje: 2005. január 31.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 28.045 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatait a következő helyeken:
. C:/Hello.vbs
. [System elérési útvonala]/VBS_Update-0548656X.vbs
. [Windows elérési útvonala]/WinFIX1.0.vbs
. [Windows elérési útvonala]/WinUpdater5.0.vbs
. C:/ICQNET.vbs
. [System elérési útvonala]/G0mez.vbs
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a következő értékeket:
. VBS_AUTO_UPDATE=[System elérési útvonala]/VBS_Update-0548656X.vbs
FIX=[Windows elérési útvonala]/WinFIX1.0.vbs
UPDATE=[Windows elérési útvonala]/WinUpdater5.0.vbs
ICQ=C:/ICQNET.vbs
G0mez=[System elérési útvonala]/G0mez.vbs
– hozzáadja a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer kulcshoz a NoDrives=0x03ffffff és a NoRun=0x00000001 bejegyzést
– hozzáadja a Disabled=0x00000001 értéket a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp kulcshoz
– megjeleníthet egy This is the w0rk 0f g0mez fejlécű üzenetet, melynek tartalma: Y0ur c0mputer has been infected by G0mez!
– minden e-mailcímre továbbítja magát a fent ismertetett karakterisztikában, amelyet a Windows Address Bookjában talál
– minden egyes e-mailcím után, amire elküldte magát, a HKEY_CURRENT_USERSoftwareMicrosoftWAB kulcsban rögzíti a következő bejegyzést: [e-mailcím]=0x00000001; így akadályozva meg azt, hogy egy címre többször is elküldje magát
– megkísérel file-cserélő hálózatokon terjedni, a rendszerre telepített file-megosztó program(ok) megosztott könyvtáraiba való betelepedéssel
– letiltja a Registry editor használatát a DisableRegistryTools=0x00000001 bejegyzés HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem kulcsban való elhelyezésével
– létrehozhatja a C meghajtó gyökerében a WARNING.txt állományt, és megjelenítheti azt egy szövegszerkesztő alkalmazással, melyben az alábbiakat lehet olvasni:
You have been infected by G0mez!
Go to any AV sites and update you AV software !!!
– – Best Regards: G0mez Author
– megjelenítheti a következő Windows Script Host üzenetet, majd leállítja a számítógépet:
Shutdown.vbs, Version 1.00
VBS.G0mez Is here :-p
Usage: CSCRIPT SHUTDOWN.VBS [ computer_name ]
!!!˝!!!˝ SHUTDOWN!˝
(without leading backslashes).
Default is ˝.˝ (the local computer).
G0mez will now shutdown the computer!
🙂
hehehe
G0mez 0wnz U 🙂
– amennyiben a számítógép nem áll le, átnézi az összes helyi és hálózati meghajtót olyan file-ok után kutatva, melyek a következő kiterjesztéssel bírnak: .dll, .vbs, .vbe, .exe, .wsh
– minden állományt, amit így megtalál, letöröl, és saját magával helyettesíti, a file-név végére pedig egy .vbs másodlagos kiterjesztést biggyeszt