Hiba az SP2-ben, figyelmeztet a féreg

A fertőzött e-mail jellemzői

Kivételesen nem hamisított feladóval küldi a leveleket

Tárgy: Service Pack 2 BUG!!

Tartalom: Dear user I have been informed that there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fix the bug and keep your system safe.
You will find the Patch file in the attachment, feal free to send it to anyone.
I´ll be in touch with you as soon as another bug is found.

Regards,
A.H
Csatolmány: C:/Fix_SP2.zip

Megjegyzés: amint elküldte az e-maileket, azokat kitörli a Send Items mappából és a Fix_SP2.zip állományt is letörli a C gyökeréből

A féreg paraméterei

Felfedezésének ideje: 2005. február 11.
Utolsó frissítés ideje: 2005. február 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 36.864 byte, 32.768 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a következő helyekre:
. C:/Windows/Msvbdll.pif
. C:/Program Files/Sony/VAIO Action Setup/MsVBdll32.exe
. [Windows elérési útvonala]/msVBdll.exe
. [UserProfile elérési útvonala]/Start Menu/Programs/Startup/msVBdll.exe
– hozzáadja az MsVBdll=[Windows elérési útvonala]/MsVBdll.pif bejegyzést a következő két Registry kulcshoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– hozzáadja a FirewallDisableNotify=1, az UpdatesDisableNotify=1 és az AntiVirusDisableNotify=1 bejegyzéseket a következő kulcsokhoz, ezzel csökkentve a rendszer biztonsági szintjét:
. HKEY_CURRENT_USER/Software/Microsoft/security center
. HKEY_LOCAL_MACHINE/Software/Microsoft/security center
– letiltja a Task Manager és a Registry editor használatát a DisableTaskMgr=1 és a DisableRegistryTools=1 bejegyzés HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System Regtistry kulcsbn való rögzítésével
– kiiktatja az automatikus rendszerfrissítést a NoAutoUpdate=1 bejegyzés HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/WindowsUpdate/AU kulcsba való felvitelével
– letörli a következő Registry bejegyzést (ha az létezik): HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/CurrentVersion/Run/ Windows=Auto Update.exe
– megjeleníti a következő párbeszédablak valamelyikét:
I.
fejléc: Blow Me
szöveg: Hello Windows has suffered from a serious error, it may never recover unless you perform oral sec on the cd drive
II.
fejléc: Disgusting
szöveg: You are viewing this message because someone in the house is homosexual
– az AOL Instant Messengerének ablakában megjeleníti a következő üzenetet: Hey whats up!! look what I did to my hair…lol!!; csatolmány: C:/Windows/picture.pif (habár a féreg nem hozza létre ezt az állományt)
– megpróbálkozhat e-mailes terjedéssel is, lásd a fenti ismertetőt
– megkísérel letölteni egy állományt a geocities.com/vip_asshole domain alól, és a C meghajtó gyökerébe menti el Fix_SP2.zip néven (a cikk írásának időpontjában ez az URL elérhetetlen volt)
– leállítja a következő futó process-eket: svchost.exe, lsass.exe
– megkísérli hibernálni a PC-t, valamint felmásolni magát az A meghajtóban levő lemez gyökerébe homework.exe néven
– ha nem fér hozzá a meghajtóhoz, a következő hibaüzenetet jeleníti meg:Run-time error ´71´: Disk not ready; majd abbahagyja működését