Online aukciós értesítésnek tűnő féregvírus

A fertőzött e-mail tulajdonságai

Feladó: a következők valamelyike:
. Ebay Auctions [responder@ebay.com]
. Yahoo Auctions [auctions@yahoo.com]
. Amazon automail [responder@amazon.com]
. MSN Auctions [auctions@msn.com]
. QXL Auctions [responder@qxl.com]
Tárgy:Auction successful!
Tartalom:
#—————– message was sent by automail agent ——————#

Congratulations!

You were successful in the auction.

Auction ID :[4 véletlenszerűen választott számjegy]-[4 véletlenszerűen választott számjegy]-[4 véletlenszerűen választott számjegy]-A
Product ID :[4 véletlenszerűen választott számjegy]-[4 véletlenszerűen választott számjegy]-[4 véletlenszerűen választott számjegy]-P

A detailed description about the product and the bill
are attached to this mail.
Please contact the seller immediately.

Thank you!
Csatolmány: prod_info_[5 számjegy].[kiterjesztés]

A féreg paraméterei

Felfedezésének ideje: 2004. február 16.
Utolsó frissítés ideje: 2004. február 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 21.504 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza az AdmMoodownJKIS003 nevű mutexet, így akadályozván meg, hogy többször is betöltődjön a memóriába
– felmásolja magát a Windows könyvtárba services.exe néven
– hozzáadja a Service=[Windows elérési útvonala]/services.exe -serv bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a Taskmon és az Explorer értékeit a következő két Registry kulcsból:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURREEN_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– letörli a KasperskeyAV és a System. bejegyzések értékeit a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból
– letörli a HEKY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcsot
– felmásolhatja magát a Windows könyvtárba a következő állománynevek egyikén:
. prod_info_55761.rtf.exe.zip
. prod_info_65642.rtf.scr.zip
. prod_info_33543.rtf.scr.zip
. prod_info_56474.txt.exe.zip
. prod_info_33325.txt.exe.zip
. prod_info_77256.txt.scr.zip
. prod_info_34157.htm.exe.zip
. prod_info_87968.htm.scr.zip
. prod_info_43859.htm.scr.zip
. prod_info_56780.doc.exe.zip
. prod_info_43631.doc.exe.zip
. prod_info_47532.doc.scr.zip
. prod_info_54433.doc.exe.zip
– e-mailcímek után kutat a következő kiterjesztéssel bíró állományokban: .msg, .oft, .sht, .dbx, .tbb, .adb, .doc, .wab, .asp, .uin, .rtf, .vbs, .html, .htm, .pl, .php, .txt, .eml
– olyan mappák után kutat a C meghajtótól a Z meghajtóig, melyek neve tartalmazza a Share vagy Sharing sztringet
– amennyiben talál ilyen könyvtára(ka)t, bemásolja oda magát (természetesen optikai meghajtó esetén nem) a következő neveken:
. doom2.doc.pif
. sex sex sex sex.doc.exe
. rfc compilation.doc.exe
. dictionary.doc.exe
. win longhorn.doc.exe
. e.book.doc.exe
. programming basics.doc.exe
. how to hack.doc.exe
. max payne 2.crack.exe
. e-book.archive.doc.exe
. virii.scr
. nero.7.exe
. eminem – lick my pussy.mp3.pif
. cool screensaver.scr
. serial.txt.exe
. office_crack.exe
. hardcore porn.jpg.exe
. angels.pif
. porno.scr
. matrix.scr
. photoshop 9 crack.exe
. strippoker.exe
. dolly_buster.jpg.pif
. winxp_crack.exe
– saját SMTP-motorja révén a már korábban ismertetett formátumban továbbítja magát a megszerzett e-mailcímekre