Crea i file:
%System%\Norton Update.exe
C:\s.cm (un file di registro)
Nota: %System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
Crea copie multiple di se stesso con il seguente nome:
%System%\[8 caratteri a caso].dll
Tenta di creare i seguenti file nelle cartelle che hanno la stringa "shar" nel percorso:
winamp 5.7 new!.exe
ICQ 2005a new!.exe
Crea il mutex seguente in modo che solo una versione del worm venga eseguita immediatamente sul computer infetto:
Wxp4
Aggiunge il valore:
"Wxp4" = "%System%\Norton Update.exe"
alla chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
in modo che il worm venga eseguito ogni volta che Windows si avvia.
Crea più voci nella seguente sottochiave di registro dove le informazioni riguardanti il worm vengono memorizzate:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
Mostra il seguente messaggio di errore:
Titolo: CRC: 04F7Bh
Messaggio: Error in packed file!
Termina i processi che hanno le stringhe seguenti nel nome:
reged
msconfig
task
Tenta di connettersi al dominio microsoft.com
Apre una backdoor sulla porta TCP 8181 e attende i comandi provenienti dall'aggressore remoto.
Cerca file .exe nelle cartelle contenenti le stringhe seguenti:
syman
viru
trend
secur
panda
cafee
sopho
kasper
Riduce le impostazioni di sicurezza tentando di terminare i processi dei file eseguibili trovati nelle cartelle qui sopra.
Raccoglie indirizzi e-mail dal computer infetto e li memorizza in più versioni del file seguente:
%System%\[nome causale].dll
Il worm recupera gli indirizzi e-mail dalla Rubrica di Windows e dai file con le estensioni seguenti:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
Il worm evita gli indirizzi e-mail che contengono le seguenti stringhe:
yaho
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper
Invia una copia del worm agli indirizzi e-mail raccolti sul computer utilizzandolo come motore SMTP. L'e-mail può essere in più lingue ed ha le seguenti caratteristiche:
Da: <falsificato>
Oggetto: (Uno dei seguenti)
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
Messaggio: (Uno dei seguenti)
Happy HollyDays!
:) [Sender]
Kellemes Unnepeket!
:) [Sender]
Feliz Navidad!
:) [Sender]
:) [Sender]
Glaedelig Jul!
:) [Sender]
God Jul!
:) [Sender]
God Jul!
:) [Sender]
Iloista Joulua!
:) [Sender]
Naulieji Metai!
:) [Sender]
Wesolych Swiat!
:) [Sender]
Fröhliche Weihnachten!
:) [Sender]
Prettige Kerstdagen!
:) [Sender]
Veselé Vánoce!
:) [Sender]
Joyeux Noel!
:) [Sender]
Buon Natale!
:) [Sender]
Allegato: (Nome variabile con una delle estensioni seguenti)
.bat
.cmd
.com
.pif
.zip
L'immagine seguente mostra un esempio di e-mail inviata dal worm:
(La pagina è stata copiata dal sito della Symantec, per vedere la pagina originale vai sul sito cliccando qui )
È pericoloso o pericolosissimo?
PS: Questo virus non mi piace tanto, perché ha un backdoor