[2F Kft] A féreg maga egy kb. 11 Kb hosszúságú PE EXE fájl, melyet Visual Basic-ben írtak. A féreg programkódja össze lett tömörítve az UPX program segítségével, így az eredeti hossza körülbelül 32 Kb.
A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy: (Subject) bill caricature
Levélszöveg: (Body)
Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM
--------------------------------------------------------
Csatolt állomány: (Attachment) CARI.SCR
A féreg csak akkor aktiválódik, ha a fertőzött mellékletre rákattintanak. Ekkor telepíti magát a rendszerre, lefuttatja a terjedéséhez szükséges rutinját és a büntető rutint.
Elindítása után - ha ez először történik az adott gépen - egy ablakot is megjelenít.
Amint a féreg telepíti magát a WINDOWS System könyvtárába "cari.scr" néven, létrehozza a regisztrációs adatbázis (Registry) auto-run részében az alábbi kulcsot:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
win=%SYSTEM%cari.scr
ahol a %SYSTEM% az aktuális Windows System alkönyvtár.
Terjedés
---------
A terjedési részében a féreg összegyűjti az összes levelezési címet az Outlook könyvtárakból és a Windows címjegyzékből (Windows Address Book). A féreg elküldi magát minden egyes címre az alábbi formátumú levélben:
Büntető rutin:
---------------
Ha már sikerült megfertőznie a rendszert (a fertőzött gép újraindult), a féreg ellenőrzi az aktuális dátumot, és ha az órák száma egyenlő nyolccal, végrehajtja a büntető rutinját.
Ez az alábbiakat törli:
c:*.*
d:*.*
e:*.*
f:*.*
valamint a *.sys állományokat a Windows könyvtárból és a *.vxd, *.sys, *.ocx, *.nls fájlokat a Windows System alkönyvtárból.
Az F-Secure és Kaspersky Anti-Virus programok a 2002. március 22-i adatállományokkal már képesek detektálni.
Vírusriadó: I-Worm.MyLife.b
Hirdetés
Hirdetés