MegaLab.it

Crea i file:

%System%\Norton Update.exe
C:\s.cm (un file di registro)

Nota: %System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).


Crea copie multiple di se stesso con il seguente nome:

%System%\[8 caratteri a caso].dll


Tenta di creare i seguenti file nelle cartelle che hanno la stringa "shar" nel percorso:

winamp 5.7 new!.exe
ICQ 2005a new!.exe


Crea il mutex seguente in modo che solo una versione del worm venga eseguita immediatamente sul computer infetto:

Wxp4


Aggiunge il valore:

"Wxp4" = "%System%\Norton Update.exe"

alla chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

in modo che il worm venga eseguito ogni volta che Windows si avvia.


Crea più voci nella seguente sottochiave di registro dove le informazioni riguardanti il worm vengono memorizzate:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4


Mostra il seguente messaggio di errore:

Titolo: CRC: 04F7Bh
Messaggio: Error in packed file!


Termina i processi che hanno le stringhe seguenti nel nome:

reged
msconfig
task


Tenta di connettersi al dominio microsoft.com


Apre una backdoor sulla porta TCP 8181 e attende i comandi provenienti dall'aggressore remoto.


Cerca file .exe nelle cartelle contenenti le stringhe seguenti:

syman
viru
trend
secur
panda
cafee
sopho
kasper


Riduce le impostazioni di sicurezza tentando di terminare i processi dei file eseguibili trovati nelle cartelle qui sopra.


Raccoglie indirizzi e-mail dal computer infetto e li memorizza in più versioni del file seguente:

%System%\[nome causale].dll


Il worm recupera gli indirizzi e-mail dalla Rubrica di Windows e dai file con le estensioni seguenti:

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

Il worm evita gli indirizzi e-mail che contengono le seguenti stringhe:

yaho
google
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper


Invia una copia del worm agli indirizzi e-mail raccolti sul computer utilizzandolo come motore SMTP. L'e-mail può essere in più lingue ed ha le seguenti caratteristiche:

Da: <falsificato>

Oggetto: (Uno dei seguenti)

Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

Messaggio: (Uno dei seguenti)

Happy HollyDays!
:) [Sender]

Kellemes Unnepeket!
:) [Sender]

Feliz Navidad!
:) [Sender]

:) [Sender]

Glaedelig Jul!
:) [Sender]

God Jul!
:) [Sender]

God Jul!
:) [Sender]

Iloista Joulua!
:) [Sender]

Naulieji Metai!
:) [Sender]

Wesolych Swiat!
:) [Sender]

Fröhliche Weihnachten!
:) [Sender]

Prettige Kerstdagen!
:) [Sender]

Veselé Vánoce!
:) [Sender]

Joyeux Noel!
:) [Sender]

Buon Natale!
:) [Sender]


Allegato: (Nome variabile con una delle estensioni seguenti)

.bat
.cmd
.com
.pif
.zip


L'immagine seguente mostra un esempio di e-mail inviata dal worm:

(La pagina è stata copiata dal sito della Symantec, per vedere la pagina originale vai sul sito cliccando qui )