Al ser ejecutado, se copia a si mismo como WinLogon.exe en el directorio C:\Windows. Cabe aclarar que bajo Windows NT/2000/XP existe dentro del directorio C:\Windows\System32 un archivo con el mismo nombre.
Para poder ejecutarse en cada inicio del sistema agrega el valor ICQ Net = "C:\Windows\winlogon.exe -stealth" bajo la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
El virus se envía a través del correo electrónico utilizando su propio motor SMTP. Los mensajes enviados poseen las siguientes características:
Asunto: (uno de los siguientes)
Re: Approved
Re: Details
Re: Document
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
Re: Re: Document
Re: Re: Message
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Thanks!
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website
Cuerpo:(uno de los siguientes)
Here is the file.
Please have a look at the attached file.
Please read the attached file.
See the attached file for details.
Your document is attached.
Your file is attached.
Archivo adjunto:(uno de los siguientes)
all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
your_archive.pif
your_bill.pif
your_details.pif
your_document.pif
your_file.pif
your_letter.pif
your_picture.pif
your_product.pif
your_text.pif
your_website.pif
yours.pif
Por último, consulta los siguientes DNS:
62.155.255.16
145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
En cada uno de los servidores busca distribuidores de correo electrónico los cuales usa como servidores SMTP. |
