Hálózati megosztások révén terjedő féreg

A féreg paraméterei

Felfedezésének ideje: 2005. április 30.
Utolsó frissítés ideje: 2005. április 30.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába, blade.exe és svchost.dat néven
– létrehozza a következő alkulcsokat a Registry-ben:
. HKEY_CLASSES_ROOT/.Count
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/{0fab99d0-bab8-11d1-994a-0005454fbbc9}
– a C, D, E, F, G, H, I meghajtók gyökérkönyvtárában létrehozza a következő file-okat: desktop.ion, autorun.inf, ha tudja
– a fenti autorun.inf állomány a következő szöveget tartalmazza: open=desktop.ion; azaz ennek révén az utóbbi file mindig lefut, amikor a meghajtó csatlakoztatásra kerül
– a fenti két file-t azon hálózati számítógépekre is felmásolja, amelyek megkötések nélküli megosztással rendelkeznek a helyi hálózaton
– megkísérel a www.windows-up.com URL-hez csatlakozni, és innen a gphoto.htm állományt letölteni (a cikk írásának időpontjában ez a file nem elérhető)