Der Wurm kommt als Email in folgender Form:
From: [spoofed]
Subject: eines der folgenden:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Anhang: hat eine .exe, .scr, .com, .zip, .vbs,
.hta or .cpl Extension und einen der folgenden Namen:
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
Sources
Body text: enthδlt eventuell einen oder
mehrere von diesen:
Read the attach.
Your file is attached.
More info is in attach
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.
For security reasons attached file is password protected. The
password is [password]
For security purposes the attached file is password protected.
Password -- [password]
Note: Use password [password] to open archive.
Attached file is protected with the password for security reasons.
Password is [password]
In order to read the attach you have to use the following password:
[password]
Archive password: [password]
Password - [password]
Password: [password]
Wenn er lδuft, zeigt der Wurm folgende Fehlermeldung:
Can't find a viewer associated with the file
und schafft eine der folgenden Mutexe:
|MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
dann schafft er folgende Dateien:
%SYSDIR%\loader_name.exe -- Wurm Exe Datei
wo %SYSDIR% imWindows System Directory (z.B. C:\Windows\System, C:\WinNT\System32)
ist
%SYSDIR%\loader_name.exeopen -- Wurm Kopie mit angehδngtem
Mόll
%SYSDIR%\loader_name.exeopenopen -- Wurm gezippt (eventuell
Passwort geschόtzt)
und schafft den Registry Key:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
"reg_key"="%SYSDIR%\loader_name.exe
Der o.g. Key wird zehnmal pro Sekunde geschaffen,
so dass es nichts nόtzt, ihn zu lφschen, wenn nicht der Prozess
(loader_name.exe)beseitigt wird.
Der Wurm versucht folgende Strings aus den Registry
Keys zu lφschen:
HKCU\Software\Microsoft\Windows\My AV
HKCU\Software\Microsoft\Windows\Zone Labs Client Ex
HKCU\Software\Microsoft\Windows\9XHtProtect
HKCU\Software\Microsoft\Windows\Antivirus
HKCU\Software\Microsoft\Windows\Special Firewall Service
HKCU\Software\Microsoft\Windows\service
HKCU\Software\Microsoft\Windows\Tiny AV
HKCU\Software\Microsoft\Windows\ICQNet
HKCU\Software\Microsoft\Windows\HtProtect
HKCU\Software\Microsoft\Windows\NetDy
HKCU\Software\Microsoft\Windows\Jammer2nd
HKCU\Software\Microsoft\Windows\FirewallSvr
HKCU\Software\Microsoft\Windows\MsInfo
HKCU\Software\Microsoft\Windows\SysMonXP
HKCU\Software\Microsoft\Windows\EasyAV
HKCU\Software\Microsoft\Windows\PandaAVEngine
HKCU\Software\Microsoft\Windows\Norton Antivirus AV
HKCU\Software\Microsoft\Windows\KasperskyAVEng
HKCU\Software\Microsoft\Windows\SkynetsRevenge
HKCU\Software\Microsoft\Windows\ICQ Net
Um sich zu verschicken, durchsucht der Wurm die
lokale Festplatte nach Email Addressen in Dateien mit folgenden Endungen:
.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx,
.mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .wsh, .adb, .tbb,
.sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp
und benutzt seine eigenen SMTP Maschine, um den
anvisierten Mailserver zu erreichen und Mails an ihn zu schicken, er
lδsst dabei Emailadressen aus, die Folgendes enthalten:
@hotmail, @msn, @microsoft, rating@, f-secur,
news, update, anyone@, bugs@, contract@, feste, gold-certs@, help@,
info@, nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix,
linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab,
winzip, google, winrar, samples, abuse, panda, cafee, spam, @avp., noreply,
local, root@, postmaster@.
Ebenso kopiert sich der Wurm in Directories,
die shar in ihrem Namen enthalten (z.B. P2P Share Ordner) mit einem
der folgenden Namen:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Der Wurm fungiert auch als Backdoor auf Port 1234.