File-jainkat letörlő féregvírus jelent meg

A féreg tulajdonságai

Felfedezésének ideje: 2003. április 11.
Utolsó frissítés ideje: 2003. április 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: 38.225 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– az összes file letörlésével megpróbálkozik, melyek az alábbi könyvtárban vannak:
. C:/Progra~1/eSafe/Protect
. C:/Progra~1/McAfee VirusScan
. C:/Progra~1/NORTON~1
. C:/Progra~1/Acceleration Software/Anti-Virus
. C:/Progra~1/F-prot
. C:/Progra~1/Mcafee
. C:/Progra~1/Kasper~1
. C:/Progra~1/Avpersonal
. C:/Progra~1/Bullguard
– felmásolja magát a Windows könyvtárba a következő neveken: Hwinfoq.com, Lorupscr.scr, Winstart32.exe
– létrehozza a Windows könyvtárban a MyShares nevű könyvtárat, ahová a következő állományokat másolja be:
. C:/Windows/Temporary Internet Files/*.txt
. C:/Documents And Settings/Local Settings/Temp/*.doc
. /My Chat Logs/*.*
. C:/Windows/*.pwl
. C:/Windows/*.ini
. C:/Windows/temp/*.Doc
. C:/Windows/Temp/*.txt
. C:/Windows/Temp/*.rtf
– leellenőrzi a következő könyvtárak meglétét:
. C:/Windows/Myshares
. C:/Program Files/Icq/Shared Files
. C:/Program Files/Bearshare/Shared
. C:/Program Files/Morpheus/My Shared Folder
. C:/Program Files/Edonkey2000/Incoming
. C:/Program Files/Gnucleus/Downloads
. C:/Program Files/Gnucleus/Downloads/Incoming
. C:/Program Files/Kazaa/My Shared Folder
. C:/Program Files/Kazaa Lite/My Shared Folder
. C:/Program Files/Limewire/Shared
– ezt követően a féreg bemásolja magát a fenti könyvtárból mindbe, amit megtalál
– hozzáadja a ˝Winstart˝=˝c:/windows/winstart32.exe˝ bejegyzést az alábbi két Registry kulcshoz:
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Run
– hozzáadja a HKEY_USERS/.DEFAULT/Control Panel/Desktop Registry kulcshoz a következő bejegyzéseket:
. ˝ScreenSaverTimeOut˝=˝300˝
. ˝ScrnSAVE.EXE˝=˝c:/windows/lorups~1.scr˝
. ˝ScreenSaveActive˝=˝1˝
– hozzáadja a ˝HWINFOa˝=˝c:/windowsHWINFOa.com˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion kulcshoz
– hozzáadja a ˝Done˝=˝True˝ bejegyzést a HKEY_USERS/.DEFAULT/Software/Lorup Registry kulcshoz
– az alábbi kulcsokban is létrehoz számos bejegyzést, hogy megossza a C:/Windows/MyShares könyvtárat:
. HKEY_USERS/.DEFAULT/Software/Kazaa
. HKEY_USERS/.DEFAULT/Software/Kazaa lite
. HKEY_USERS/.DEFAULT/Software/Grokster
. HKEY_USERS/.DEFAULT/Software/Grokster lite
. HKEY_USERS/.DEFAULT/Software/iMesh
. HKEY_USERS/.DEFAULT/Software/iMesh lite