El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando esto sucede se abre el editor de texto por defecto (por ejemplo el bloc de notas) mostrando basura
Crea copias de si mismo en la siguiente carpeta:
C:\Windows\msagent\system\smss.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
También crea los siguientes archivos, los cuáles son utilizados para almacenar la lista de direcciones a las que se envía, y los del propio gusano:
C:\Windows\System\nonrunso.ber
C:\Windows\System\read.me
C:\Windows\System\stopruns.zhz
C:\Windows\System\xcvfpokd.tqa
C:\Windows\msagent\system\emdata.mmx
C:\Windows\msagent\system\zipzip.zab
El archivo "read.me" contiene el siguiente texto:
test test test
In diesem Sinne:
Odin alias Anon
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
_Services.dll = c:\windows\msagent\system\smss.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
_Services.dll = c:\windows%\msagent\system\smss.exe
Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Tres de los archivos copiados en el sistema, se encargan de monitorear esto, y de crear de inmediato una nueva copia. La herramienta de limpieza automática de NOD32 elimina los tres procesos.
El gusano utiliza su propio motor SMTP para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes extensiones:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
vv
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Intenta terminar cualquier proceso que contenga alguna de las siguientes cadenas:
gcas
gcip
giantanti
hijackthis
stinger
El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.
Los mensajes que utiliza para enviarse tienen las siguientes características:
Mensaje en ingles:
Asunto: Your Password & Account number
Texto del mensaje:
i"ve got an admin mail with a Password and Account info!
but the mail recipient are you! it"s probably an esmtp
error, i think.
i"ve copied the full mail text in the Windows
text-editor & zipped.
ok, cya...
Datos adjuntos: acc_text.zip
Mensaje en alemán
Asunto: Ich habe Ihre E-Mail bekommen!
Texto del mensaje:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor
kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist,
sorge dafuer das diese
Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.
Gruss
Datos adjuntos: MailTexte.zip
Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.
