Cuando se ejecuta, se copia a si mismo en la carpeta de Windows:
c:\windows\winppr32.exe
También crea estos archivos (en el primero, guarda la lista de direcciones a las que se enviará):
c:\windows\winstt32.dat
c:\windows\winstf32.dll
De acuerdo a la versión de sistema operativo, la carpeta de Windows puede ser "C:\Windows" o "C:\WinNT".
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = c:\windows\winppr32.exe /sinc
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = c:\windows\winppr32.exe /sinc
La segunda entrada, solo lo hará en algunas versiones del sistema operativo.
Utiliza su propio motor SMTP para enviarse por correo, por lo que es independiente del cliente de correo instalado.
Se envía en mensajes electrónicos a todas las direcciones de correo electrónico recolectadas de todos los archivos de la máquina infectada con estas extensiones:
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
Las direcciones son copiadas en el siguiente archivo:
c:\windows\winstt32.dat
Los mensajes tienen estas características:
De: (Cualquier dirección real tomada de la máquina infectada)
De ese modo, el mensaje casi siempre parecerá venir de alguien conocido, cuando realmente dicha persona nunca lo envía.
En ocasiones, puede utilizar la dirección admin@internet.com o una combinación como XXXX@XXinternet.com donde las "X" son letras al azar o parte de otras direcciones.
Para: (Utiliza la dirección a la que se envía).
Asunto: (Uno de los siguientes):
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Cuerpo del mensaje: (Uno de los siguientes):
Please see the attached file for details.
See the attached file for details
Como datos adjuntos, un archivo con el gusano propiamente dicho, y con alguno de los siguientes nombres:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
El gusano agrega basura al final de su código, por lo que el tamaño final del adjunto puede variar (de 70 Kb a 100 Kb aprox.), y en ocasiones, puede enviarse algún mensaje sin adjunto alguno.
El gusano ejecuta su rutina de envío de mensajes infectados, cada 10 segundos.
El gusano también intenta propagarse a través de recursos compartidos en redes (cada 30 minutos).
Utiliza el protocolo NTP (Network Time Protocol) para conectarse a un servidor que le indica la fecha y la hora actual. Si la misma es 10 de setiembre de 2003 o posterior, el gusano finaliza su ejecución en toda las máquinas infectadas. Esta característica es similar a las de versiones anteriores del gusano.
Posee además la capacidad de descargar y ejecutar archivos desde Internet, incluyendo su propia actualización.
Cada 60 minutos, el gusano envía un paquete UDP por el puerto 8998 a un servidor maestro. El servidor responde con una dirección URL, a las que el gusano se conectará para descargar cualquier archivo ejecutable. Estas descargas se realizarán un viernes o un domingo, entre las 7 PM y 10 PM, según la hora UTC/GMT.
Las descargas pueden ser actualizaciones del propio gusano, o cualquier ejecutable, incluidos troyanos, etc.
También abre cualquier puerto UDP en el rango 995 a 999, para recibir información que le permitirá actualizar la lista de servidores a los que se conectará, incluido el servidor maestro.
El gusano también puede ser utilizado para robar información de los sistemas infectados, y para usarlos como servidores proxy en el envío masivo de spam.
En otra de sus características, agrega distintos encabezados a los mensajes de correo electrónico generados, entre ellos uno para que quien los vea crea que han sido analizados por la interface MailScanner y que ésta no ha encontrado virus en el mensaje:
X-MailScanner: Found to be clean
|
