A rendszergazdától érkezett levél lehet féregvírus is

Fertőzött e-mail tulajdonságai

Tárgy: Network Problem
Tartalom: Due to the recent problems with the email server, we have devised a program that will fix it up.
You are requested to download the attached file and execute it at once. The whole setup will take 5 to 10 minutes. If your system crashes, just restart your computer and everything will be back to normal.

Please follow instructions carefully.

System Administrator
Network Management.
Csatolmány: mérete és neve változó

A féreg paraméterei

Felfedezésének ideje: 2002. szeptember 16.
Védekezés elkészültének ideje: 2002. szeptember 17.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felülírja az összes VBS állományt a rendszeren
– hozzáadja a Dir2 012345:C://Samples/WSH DisableSharing 0 bejegyzést a HKEY_CURRENT_USER/Software/Kazaa/LocalContent Registry kulcshoz, így a Kazaa felhasználók is letölthetik a férget
– ha az aktuális dátum hónap elseje vagy 31-e, akkor minden állományt letöröl a My Documents könyvtárból és annak alkönyvtáraiból
– megjeleníti a következő két üzenetet:
Joke: Do not click the OK button or your My Documents files will get lost!
és
Serious: We have to laugh at our problems.
– a Microsoft Outlookot használja fel terjedésre, a fent ismertetett karakterisztikában e-mailt küld az Address Bookban található összes címre
– a következő e-mailcímekre is küld egy levelet: info@mcafee.com, virus_research@nai.com, virus_doctor@trendmicro.com, support@support.trendmicro.com, av_query@trendmicro.com, samples@f-secure.com, anti-virus-support@f-secure.com, support@sophos.com, vsample@avertlabs.com; melynek tárgya: Do not blame me.; tartalma: Message: Hello guys! what happenned? Do not blame me. I never executed this thing in the internet.
– megjelenít egy hamis üzenetet, melyre példa a cikk végén látható kép
– ha az aktuális dátum 29, 30 vagy 31, a féreg egyik változata letörlni a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion tartalmát
– ha az aktuális dátum elseje vagy másodika, akkor a HKEY_CURRENT_USER/SOFTWARE Registry kulcsot törli le