Microsoftot gyalázó féreg

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím, melynek domainje az alábbiak közül egy lesz:
– aol.com
– hotmail.com
– yahoo.com
– msn.com
– excite.com
– mail.com

Tárgy: album vagy You´ve got a Virtual Postcard

Tartalom: vagy a my pics… *sexy*. Heheh!;) szöveg lesz, vagy az alábbi:
You have just received a new postcard from Flashecard.com!

From: [feladó]

To pick up your postcard follow this web address
http://www.flashecard.com.viewcard.main.ecard.php?2342
or click the attached link.

We hope you enjoy your postcard, and if you do, please
take a moment to send a few yourself!

(Your message will be available for 30 days.)

Please visit our site for more information.
http://www.flashecard.com

Csatolmány: a következők egyike:
– photos_album.zip
– photos_album.scr
– www.flashecard.com_postcard=viewcard_download.html.scr
– www.flashecard.com_postcard=viewcard_download.html.zip

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 15.
Utolsó frissítés ideje: 2004. szeptember 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3/64 bit
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 23.040 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– syshosts.exe néven felmásolja magát a System könyvtárba
– hozzáadja az MS Updates=[System elérési útvonala]/syshosts.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megnyitka a http://www.microsucks.com weboldalt az Internet Explorerben
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– az Outlook Address Bookjából és különböző file-okból e-mailcímek után kutat, melyekre saját SMTP-motorja révén el is küldi magát