Újabb felvonás a vírusírók harcában

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím
Tárgy: RE: Document [véletlenszám]
Tartalom: Excuse me,
the important document is attached,
Your sincerely
Csatolmány: Document[véletlenszám].pif

A féreg paraméterei

Felfedezésének ideje: 2004. március 31.
Utolsó frissítés ideje: 2004. április 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 20.624 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba PandaAVEngine.exe névvel; ugyanitt létrehozza a temp09094283.dll állományt
– elindítja a Notepadet
– létrehozza a 89845848594808308439858307378280987074387498739847 ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– létrehozza a Windows könyvtárban a uinmzertinmds.opm állományt, mely a féreg MIME kódolt verziója
– hozzáadja a PandaAVEngine = [Windows elérési útvonala]/PandaAVEngine.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. Explorer
. system.
. msgsvr32
. winupd.exe
. direct.exe
. jijbl
. service
. Delete Me
. Sentry
. Taskmon
. Windows Services Host
. Microsoft IE Execute shell
. Winsock2 driver
. ICM version
. Microsoft System Checkup
– letörli a system., a Video, a yeahdude.exe és a
Microsoft System Checkup bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService kulcsból
– letörli HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. Explorer
. au.exe
. direct.exe
. d3dupdate.exe
. OLE
. gouday.exe
. rate.exe
. Taskmon
. Windows Services Host
. sysmon.exe
. srate.exe
. ssate.exe
. winupd.exe
. Winsock2 driver
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát; valamint küld egy levelet a jena@yahoo.cz e-mailcímre is