Többszörösen fertőző féregvírus

A féreg paraméterei

Felfedezésének ideje: 2005. február 2.
Utolsó frissítés ideje: 2005. február 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– rákeres a System mappában a következő file-okra:
. Win32.exe
. adaware.exe
. VB6.EXE
. lexplore.exe
– amennyiben a keresés nem jár eredménnyel, a féreg létrehozza a C meghajtó gyökerében a cz.exe állományt (W32.Spybot.Worm), melyet le is futtat
– felmásolja magát a C meghajtón levő System könyvtárba winhost.exe néven, és letörli a cz.exe file-t
– létrehozza a win32=winhost.exe bejegyzést a következő Registry kulcsokban:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
– felmásolja magát a C meghajtóra a következő file-nevek valamelyikén:
. LOL.scr
. Webcam.pif
. bedroom-thongs.pif
. naked_drunk.pif
. LMAO.pif
. ROFL.pif
. underware.pif
. Hot.pif
. new_webcam.pif
– felmásolja az msnus.exe állományt a System mappába
– létrehozza a C meghajtó gyökerében a sexy.jpg file-t (melyen egy sültcsirke látható), és meg is jeleníti a webböngészővel
– megkísérel MSN Messengeren keresztül szaporodni, folyamatosan figyeli az üzenőkliensben a kontaktok státusztának változásait
– nullára csökkenti a rendszeren beállított hangerősséget