Si tratta di un worm che si diffonde attraverso e-mail infette e tramite reti Peer-to-Peer (P2P). Quando viene eseguito, il worm apre il programma Notepad di Windows, visualizzando una serie di dati privi di senso.
Nelle e-mail infette il worm usa oggetto, testo e nomi di allegati variabili. Il worm tenta anche di effettuare un attacco DDOS (Distributed Denial Of Service) verso il sito SCO.COM. L'attacco è programmato per cominciare il 1 febbraio.
Il worm si comporta anche come una backdoor, installando sui sistemi infetti una libreria dinamica SHIMGAPI.DLL nella cartella di sistema di Windows ed eseguendola come processo figlio del programma EXPLORER.EXE.
Il worm è stato programmato per fermare il proprio processo di diffusione il 12 febbraio.
Dettagli tecnici
Il worm è compresso con il programma UPX e la sua lunghezza è di 22528 byte. Le stringhe di testo presenti nel programma sono codificate con l'algoritmo ROT13.
Quando viene eseguito, il worm crea un mutex (oggetto di sistema) con nome âÂ?Â?SwebSipcSmtxSOâÂ?Â, allo scopo di evitare la l'esecuzione di più istanze di se stesso.
Il worm copia se stesso nella cartella di sistema di Windows usando il nome taskmon.exe e quindi modifica il Registro di sistema allo scopo di venire eseguito in automatico ad ogni avvio di Windows
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
" TaskMon" = %sysdir%taskmon.exe
Nel caso in cui tale modifica fallisca, il worm tenta di scrivere la seguente chiave
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
"TaskMon" = %sysdir%taskmon.exe
Il worm crea anche un altro file, codificato all'interno del programma principale, e lo memorizza su disco nel seguente percorso
%sysdir%shimgapi.dll
Questo programma ha funzioni di backdoor e apre le porte TCP/IP dalla 3127 alla 3198, mettendosi in ascolto per eventuali connessioni. Una delle caratteristiche di questa backdoor consiste nella possibilità di ricevere dei programmi da remoto e di eseguirli sul sistema infetto.
Diffusione tramite P2P
Il worm effettua una ricerca nel Registro di sistema per individuare l'eventuale presenza del percorso condiviso del programma P2P Kazaa. Se il test ha successo, il worm copia se stesso nella cartella trovata usando i seguenti nomi
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Le cui estensioni vengono scelte in modo casuale nella seguente lista
.bat
.exe
.scr
.pif
Diffusione via e-mail
Il worm trova gli indirizzi e-mail ai quali spedire se stesso consultando la Rubrica di Windows e il contenuto di file aventi le estensioni che seguono
pl
adb
tbb
dbx
asp
php
sht
htm
txt
Le e-mail inviate dal worm si presentano con le seguenti caratteristiche:
L'oggetto è scelto tra una delle stringhe nella seguente lista:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Il testo del messaggio è scelto tra i seguenti:
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.
I nomi dei file allegati sono composti usando i nomi:
document
readme
doc
text
file
data
test
message
body
con le estensioni
pif
scr
exe
cmd
bat
Quando il computer infetto viene accesso dopo il 1 febbraio il worm richiede circa ogni secondo la pagina principale del sito SCO.COM. La richiesta di connessione viene effettuata con un semplice comando âÂ?Â?GET / HTTP/1.1". Dal momento che tale effetto si verifica su tutte le macchine infette sparse nel mondo, lo scopo del worm consiste nel creare un sovraccarico di richieste tale da determinare un vero e proprio attacco DDOS.