Ismét féregvírus érkezik Windows-os e-mailcímről

A fertőzött e-mail tulajdonságai

A féreg kétféle e-mailt használ:

Tárgy: Your file is attached to message.
Tartalom: Hi!, it´s me !!!
I sent you a new game for our great friendship, open it, and enjoy.
Csatolmány: game.exe

Feladó: windows@microsoft.com (ez természetesen meg van hamisítva)
Tárgy: Something new for you
Tartalom: Did you know…
This is one tip of many tips that can help you use your computer easily and simply.
Open the file attached, and enjoy.
Csatolmány: tips.exe

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 23.
Utolsó frissítés ideje: 2003. szeptember 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2003
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 143.360 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba az alábbi neveken:
. Service.exe (rejtett, system és archív attributummal)
. Notpad.exe (rejtett, system és archív attributummal)
. Source.dat
. Game.exe
– szintén itt hozza létre az OSSMTP.dll állományt, mely egy Visual Basic könyvtár; ennek révén képes e-mailben szaporítani magát (ez a file egyébként nem fertőző)
– hozzáadja a Config=[System elérési útvonala]/service.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command alapértelmezett bejegyzését a következő módon:
@=[System elérési útvonala]/notpad.exe %1
– létrehozza a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Tips Registry kulcsot
– megszerzi a rendszerleíró adatbázisból az aktuális felhasználó SMTP kijelzett nevét és e-mailcímét, valamint az SMTP-szerver IP-címét
– a Windows Address Bookjából és az Outlook Address Bookjából az összes e-mailcímet kijegyzi, majd ezen kontaktok számára továbbítja magát a már fent ismertetett karakterisztikában
– megkísérel file-cserélő hálózatokon keresztül terjedni; megkeresi a rendszerre esetlegesen feltelepített szoftverek megosztott könyvtárait, majd oda bemásolja magát a következő figyelemfelkeltő nevek egyikén:
. I.G.I 2 Crack.exe
. GTA Vice City Crack.exe
. Nero KeyGen.exe
. Splinter Cell Crack.exe
. WinISO 5.3 KeyGen.exe
. WinZip KeyGen.exe
– minden meghajtó gyökerében létrehozza a space.sys állományt (rejtett, system és archív attributummal)