Il messaggio, che dovrebbe far allarmare gli utenti, contiene ilseguente testo:
From: (l'indirizzo è falsificato)
Subject:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document,0
Testo:
vari
Il worm si duplica su cartelle presenti nelladirectory di sistema che includono la frase âÂ?Â?sharâÂ? nel nome, come lecomuni applicazioni peer-to-peer (Kazaa, Limewire e altre) e aggiungela seguente chiave di registro all'avvio del sistema: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run "reg_key " = "C:WINNTSystem32loader_name.exe".
Il worm raccoglie gli indirizzi e-mail dai file locali equindi li utilizza nel campo âÂ?Â?FromâÂ? per auto-inviarsi. Inoltre si mettein ascolto sulla porta TCP 1234 alla ricerca diconnessioni remote, cercando di avvisare l'autore che il sistemainfetto è pronto per accettare comandi.
Informazioni più precise al seguente link:http://vil.nai.com/vil/content/v_126562.htm
