W32.Duksten.B@mm – e-mailező féregvírus

A fertőzött e-mail tulajdonságai

Feladó: Alerta_RaPida
Tárgy: ProTeccion TOTAL contra W32/Bugbear (30dias)
Csatolmány: PROTECT.ZIP

A féreg paraméterei

Felfedezésének ideje: 2002. október 23.
Védekezés elkészültének ideje: 2002. október 23.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 9.728 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti a cikk mellett látható képet
– PrTecTor.exe néven bemásolja magát a System könyvtárba
– átnevezi a Regedit.exe állományt m-Regedit.exe-re, majd felmásolja a helyére magát
– a következő állomámyokat hozza még létre:
C:/Windows/System/m-Base64.xrf – ebben találhatók azon e-mailcímek, melyeket a féreg összegyűjtött
C:/Windows/System/m_Prgrm.zip – ez tartalmazza a féreg másolatát
C:/Windows/System/m_WAB.XRF – MIME kódolt file, a m_Prgrm.zip állományt tartalmazza
– hozzáadja a XRF /PrTecTor.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a Windows Address Bookjában található összes e-mailcímre elküldi magát a fent ismertetett formátumban