Újra mutálódott az MSN Messengert támadó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. február 22.
Utolsó frissítés ideje: 2005. február 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 300.906 byte, 20.480 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magátezt a System mappába cfgpwnz.exe vagy actboost.exe névvel; illetve game.exe néven is létrehozza önmaga duplikátumát a megtámadott rendszeren
– hozzáadja a Microsoft boot system cfg32=actboost.exe és a Wins32 Online=cfgpwnz.exe bejegyzéseket a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Countrol/Lsa
– MSN Messengeren keresztül érkezhet a felhasználóhoz, az üzenet csupán egy linket tartalmaz a fertőző állományra
– létrehozza a C meghajtó gyökerében a fent látható img.jpg képet, majd megjeleníti Internet Explorer révén
– megkísérel MSN Messengeren keresztül szaporodni