Újabb féreg szállt be a vírusírók harcába

A fertőzött e-mail tulajdonságai

Az e-mail tárgya és csatolmánya is igen változatos képet mutat; egy rengeteg elemet tartalmazó listából válogatja ki az éppen aktuális formáját. Támpontot a csatolmány kiterjesztése adhat; ezek a következők lehetnek: .exe, .scr, .cmd, .com, .bat, .pif. A file egy ZIP file-ba becsomagoltan indul útjára.

A féreg paraméterei

Felfedezésének ideje: 2004. március 8.
Utolsó frissítés ideje: 2004. március 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 24.064 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba WinShellb.exe néven
– a system.ini állomány [boot] részlegének Shell= sorához hozzáfűzi a következőt: Explorer.exe WinShellb.exe
– létrehozza a COKE_DESTROYS_YOUR_BRAIN_5 nevű mutexet, megakadályozandó, hogy többször is betöltődjön a memóriába
– megjelenít egy üzenőablakot a következő szöveggel: Now this will try to send a mail to Askel ;D
– létrehozza a C meghajtó gyökerében a coke.txt állományt, mely sértegető kijelentéseket tartalmaz a többi féreg alkotójára nézve
– sorban megnyitja a TCP portokat, kezdve a 1025-östől, annak érdekében, hogy terjedni tudjon
– megkísérel csatlakozni előre meghatározott IRC-szerverekhez a 6667-es porton keresztül; a felhasználónév mindig véletlenszerű, de minden esetben @foo.bar domainű