Windows patch-nek álcázott féregvírus

A fertőzött e-mail tulajdonságai

Feladó: ˝Microsoft˝ [support@microsoft.com] – ez természetesen meg van hamisítva
Tárgy: Microsoft Windows Patch vagy Re:hya
Csatolmány: Install.exe
Tartalom: Please open the attachment if want to get supprise!

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 5.
Utolsó frissítés ideje: 2003. szeptember 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2003
Nem érintett rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 28.672 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba egy olyan EXE állomány képében, mely két vagy három véletlenszerű digitből áll
– létrehozza a C meghajtó gyökerében a b46.log file-t, ami tulajdonképpen a féreg MIME64 kódolt változata
– hozzáadja a Nero.ma=[System elérési útvonala]/[a fenti állomány neve].exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– magát service processként regisztrálja
– megkísérli leállítani azon futó process-eket, amikben a következő stringek valamelyike megtalálható: VSHW, FIREW, MCAFEE, SWEEP, TDS2, TRAP, PCCW, ANTIVIR, ALERT, SCAN, NOD32
– megjeleníti a Happy birthday my! fejlécű, Merdeka! szövegű üzenetet
– a Registry-ből összegyűjti az ott fellelhető e-mailcímeket és SMTP-szerver IP-címeket; illetve e tekintetben átnézi a .htm állományokat és az ideiglenes internetes file-okat is
– saját SMTP-motorja révén továbbítja magát minden címre, amit megtalált