Wordöt tönkretevő féreg

A fertőzött e-mail tulajdonságai

Feladó: a következők egyike:
– rupert@number-10.gov.uk
– admin@number-10.gov.uk
– j.snow@channel4.co.uk
– admin@parliament.uk
– jsnow@channel4.co.uk

Tárgy: az alábbi, előre elkészített listából válogat:
– How NOT to get Promotion
– Memorandom to all staff
– Urgent Document
– Alterations to my last letter
– Amendments for…
– Extremely Important
– Sorry my mistake here´s the…
– Private and personal

Tartalom: egyike az alábbiaknak:
– Please read the attached file and get back to me ASAP
– It´s been ages since I last saw you
– Hello, Can you read the file i sent then let me have it back
– Cheers
– Hey
– Read this because i need your opinion
– see you latter
– Bye
– I need you to read this document ASAP

Csatolmány: az alábbiak közül egy:
DataBase.exe
– Memo.exe
– Memorandon.exe
– Important.exe
– Protocol.exe
– promotions.exe

A féreg paraméterei

Felfedezésének ideje: 2005. január 21.
Utolsó frissítés ideje: 2005. január 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 17.920 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a következő állományokat a C meghajtó gyökerében:
. DataBase.exe
. Memo.exe
. Memorandon.exe
. Important.exe
. Protocol.exe
. promotions.exe
– felülírja a Microsoft Word indítófile-ját (ha az alkalmazás telepítve van a rendszerre), azaz a C:/Program Files/Microsoft Office/Office/Winword.exe állományt saját magával
– létrehozza az alábbi bejegyzéseket a Registry-ben:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/Ebola
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/Ebola
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices/Anthrax
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/Anthrax
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/F4J
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/Fathers
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices/Four
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/Justice
– a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcsban rögzíti a következő értékeket:
. LOAD=C:serious.exe
. OPEN=C:serious.exe
. RUN=C:serious.exe
– MAPI révén az Outlook címlistájában található összes e-mailcímre elküldi magát