Worm.Brepibot.D

A levelek mellékletként tartalmazzák az 12800 bájt körüli kártevõket, ZIP archívumba csomagolva.

Futtatás esetén a felcsatlakoznak megadott IRC szerverekre, ahonna további komponensek települhetnek fel.

A kártevõt a VirusBuster programok a 9.21.2-es (8.1216) adatbázistól ismerik fel.

Ezt a trójait e-mail üzenetekben terjesztették. Az üzenet melléklete a ZIP archívumba csomagolt 12800 bájt hosszú trójai.

A levelek címsora az alábbi volt:

Campus Life

Szövegük pedig:

Hello,

We are planning to include you in the new campus magazine in an article titled "Campus Life". Can you approve the photo and article for us before we go to printing please?

If any details are wrong then we can amend before printing on Wednesday the 1st of July so please get back to us as soon as possible. We have attached the photo and article here.

Many Thanks & Best Regards,

Joseph Hope
Editor

A trójai a %System% könyvtárba másolja magát svchon32.exe néven, és a bejegyzi magát automatikus indulásra az alábbi kulcs alatt

"ProtocolModuleCmd"="svchon32.exe"

az alábbi helyeken:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Számos vírusvédelmi és biztonsági termék folyamatát megkísérli leállítani..

Egy listán szereplõ IRC szerverekhez csatlakozik, és onnan parancsokat vár. A parancsok révén további komponensek tölthetõk le és futtathatók a fertõzött gégpre.

A féreg eltávolítása a futó folyamat leállításával, az állomány törlésével és a regisztrációs bejegyzés eltávolításával lehetséges.