Antivírus szoftverek frissítését megbénító féreg

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: egy több elemből álló listából válogat, néhány példa:
– ASAP
– please responce
– Read this
– urgent
– toxic
– contract
– Money
– office
– Have a nice day
– Hello

Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family if possible.
It contains important info for both of you.

Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards

Hi
I was in a rush and I forgot to attach an important
document. Please see attached doc file.
Best Regards,

Sorry to bother you, but I am having a problem receiving your emails.
I am responding to your last email in the attached file.
Please get back to me if there is any problem reading the attachment.

I am responding to your last email in the attached file.
I had a delivery problem with your inbox, so maybe you´ll receive this
now.

Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– backup
– admin
– archivator
– about
– readme
– help
– photos
– payment

A féreg paraméterei

Felfedezésének ideje: 2004. október 19.
Utolsó frissítés ideje: 2004. október 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 157.194 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatait a System mappában [file-név][számos szóköz].exe néven, rengeteg példányban
– létrehozza a következő service-t:
Megjelenített név: Network Explorer
Elérési útvonal: [System elérési útvonala]/rpc32.exe
Leírás: Starts and configures accessibility tools from one window
– számos process-t állít le, Registry-bejegyzést töröl ki; elsősorban a behatolásvédelmi szoftverek ellehetetlenítése végett
– a System32 mappában található hosts állományban számos webcímhez a local loopback (127.0.0.1) IP-címet rögzíti, ezáltal elérhetetlenné téve őket (így akadályozva meg például az antivírus szoftverek automatikus frissítését)
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– ezekre a címekre aztán továbbítja önmagát