Játéknak álcázott féreg

A fertőzött e-mail jellemzői

Tárgy: Heyy..!! The Game Is Here
Tartalom: We are from Game Team and we made our super GAME. Check this game and sent to us your opinion about the game 😉
Csatolmány: Game.exe.vbs

A féreg paraméterei

Felfedezésének ideje: 2005. március 15.
Utolsó frissítés ideje: 2005. március 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 10.227 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba Game.exe.vbs és Shell32.vbs névvel
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz a Win32=C:/Windows/Game.exe.vbs és a Shell32=C:/Windows/Shell32.vbs bejegyzéseket
– hozzáadja a RegisteredOwner=Coded by ….. bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion kulcshoz, illetve a Start Page=stif.hit.bg/BugFix.exe bejegyzést a következő alkulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
– a fenti URL a vírusleírás készítésének idejében egy backdoor trójai programot tartalmazott
– hozzáadja a 1201=0 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0 kulcshoz, és a NoDesktop=1 értéket a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer kulcshoz, ezzel csökkentve a megtámadott rendszer biztonsági szintjét
– VBS és VBE állományok után keres az összes meghajtó összes mappájában, ha talál ilyet, felülírja önmagával
– a Microsoft Outlook e-mailkliense révén a fent ismertetett karakterisztikában továbbítja magát minden, a kliens címlistájában található kontakt számára
– megkeresi a Mirc mappáját, ahol is felülírja a script.ini állományt, így a Game.exe.vbs állomány küldözgetésével ezt a csatornát is ki tudja használni terjedésre
– megjeleníti a következő üzenetet:
Fejléc: GamerZ
Szöveg: Welcome To Our New World. More games at [domain]