A Microsoft elleni harcra buzdít a Mexer féreg

A fertőzött e-mail tulajdonságai

Tárgy: az alábbiak közül egy:
– EBAY Information
– VISA Information
– Provider Information
– Your Crack
– Internet Information

Tartalom: a következők egyike:
– EBAY Installer…
– Security Tool…
– Here is your crack!
– New account data…

Csatolmány: Véletlenszerűen választ egy állománynevet a fertőzött rendszer C meghajtójának egyik mappájából.

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 15.
Utolsó frissítés ideje: 2004. szeptember 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 30.720 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a System könyvtárban a sys32 mappát, majd ide bemásolja magát különböző, figyelemfelkeltő nevekkel; néhány példa:
. Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe
. Counter-Strike, Condition Zero: Activation Key.exe
. icqbomber.exe
. BurnDvds.exe
. Dvd Ripper.exe
. Dvd To Vcd.exe
. Easy Dvd Ripper.exe
. EZ Dvd Ripper.exe
. Nimo Codec Pack Updater.exe
. Xvid Codec Installer.exe
. Starcraft + Broodwar 1.10 map hack.exe
– hozzáadja a Ruby13=C:/sysnet/Ruby13.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Dir0=012345:c:/sysnet/ bejegyzést a következő Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Imesh/Client/LocalContent/
. HKEY_CURRENT_USER/Software/Kazaa/LocalContent
. HKEY_CURRENT_USER/Software/Kazaa/Transfer
– e-mailcímeket gyűjt különböző, a rendszerben megtalálható állományokból
– az így megszerzett címekre elküldi magát, saját SMTP-motorja révén
– a féreg megjelenít egy ˝Ruby V1.3, (c)BI 16.08.2004˝ fejlécű és ˝Fight against MICROSOFT and make a virus!˝ szöveggel bíró párbeszédablakot