Warezelőket támad a Netsky féregvírus S változata

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: egy sok elemből álló listából választ egyet, néhány példa:
. Hello!
. Hi!
. Re: Important
. Important
. Re: My details
. My details
. Re: Your information
. Your information
. Re: Your details
. Your details
. Re: Your document
. Your document

Tartalom: egy hosszú listából összeállított szöveget találunk a fertőzött e-mail ezen részében, melynek végén mindig a következő szöveg látható (a Panda helyén állhat még a Norton, a McAfee és az F-Secure neve és elérhetősége):
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Panda OnlineAntiVirus
+++ Website: www.pandasoftware.com

Csatolmány: .pif kiterjesztéssel bíró állomány

A féreg paraméterei

Felfedezésének ideje: 2004. április 5.
Utolsó frissítés ideje: 2004. április 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 18.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba EasyAV.exe névvel
– létrehozza a Protect_USUkUyUnUeUtU_Mutex és a SyncMutex_USUkUyUnUeUtU ˝nevű˝ mutexeket, megakadályozandó a memóriába való többszöri betöltődését
– létrehozza a Windows könyvtárban a Uinmzertinmds.opm állományt, mely a féreg MIME kódolt verziója
– hozzáadja a EasyAV = [Windows elérési útvonala]/EasyAV.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a 6789-es TCP porton hallgatózik; amennyiben alkotója küld egy EXE file-t ezen a porton keresztül, azt a féreg elmenti és lefuttatja
– amennyiben a rendszerdátum 2004. április 14-e és 2004. április 23-a közé esik, DoS-támadást kísérel meg a következő webhelyek ellen:
. www.cracks.am
. www.emule.de
. www.kazaa.com
. www.freemule.net
. www.keygen.us
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm, .adb, .tbb, .dbx, .pl, .htm, .html, .jsp, .wsh, .xml, .cfg, .mbx, .mdx, .mht, .mmf, .nch, .ods, .stm, .xls, .ppt; ehhez átnézi az összes meghajtót C-től Z-ig (kivéve az optikai drive-okat)
– amennyiben a rendszerdátum nem 2004. áprilisa illetve az adott nap dátuma kisebb mint 14 vagy nagyobb mint 16, saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát