W32.Duksten.D@mm – veszélyben a Registry

A fertőzött e-mail tulajdonságai

Feladó: ˝Fotos_PresTiGe˝[freeserver@nautilus.org]
Tárgy: Nuevas grietas del PrestiGe nos amenazan!
Csatolmány: Grietas.zip

A féreg paraméterei

Felfedezésének ideje: 2002. december 23.
Védekezés elkészültének ideje: 2002. december 24.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 10.240 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– egy latin nyelvű kérdést tartalmazó ablakot jelenít meg
– felmásolja magát a System könyvtárba PresTiGe.exe néven
– átnevezi a Windows könyvtárban található Regedit.exe állományt m_Regedit.exe-re, s az eredeti névvel felmásolja saját magát
– létrehozza a következő file-okat a System könyvtárban:
P_Base64.xrf – szöveges állomány, az Address Bookból gyűjtött e-mailcímeket tárolja benne
P_Prgrm.zip – ez tartalmazza a féreg másolatát PresTiGe.exe néven
P_WAB.XRF – a P_Prgrm.zip MIME kódolt formája
– hozzáadja az XRF [System elérési útvonala]/PresTiGe.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– átnézi a Registry-t az alapértelmezett e-mail account és SMTP szerver megszerzése végett, majd továbbítja magát ZIP-pelt formátumban a fent ismertetett karakterisztikában