Infectie komt tot stand door dit bijlagebestand handmatig te openen.

Payload/Schade
* Doorzending via e-mail als antwoord op eerder verzonden berichten.
Dit geschiedt via een eigen SMTP-server (SMTP.163.com)
* De worm tracht als administrator in te loggen binnen gedeelde netwerken. Hiervoor gebruikt het een voorgeprogrammeerde lijst van vaste wachtwoorden (zie hieronder).
* Na infectie installatie van backdoor component. Hiermee krijgt de virusschrijver/cracker toegang via poort 1092.
* Bevestiging van infectie naar virusschrijver via e-mail geadresseerd aan een adres bij Yahoo.com of bij 162.com

Eigenschappen van e-mailbericht:

* Onderwerp: RE: [onderwerp oorspronkelijke bericht]

* Tekst van het bericht:

-'''' wrote:
====
> >
====

account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE account now! <

* Naam bijlagebestand: [willekeurig, één van onderstaande:]
(altijd extensie; .exe, .scr of .pif)

I am For u.doc.exe"
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
the hardcore game-.pif

Preventieve maatregelen:
Herkenning van besmetting:

Bestanden
1a) Aanwezigheid van een of meerdere van onderstaande bestanden op uw pc, gedeelde netwerkverbindingen e.a.:

100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe

1b) Aanwezigheid van een van onderstaande bestanden in de standaard Windows\System directory (Meestal C:\Windows\System):

Iexplore.exe
Ravmond.exe
WinGate.exe
WinDriver.exe
Winrpc.exe
Winhelp.exe
Task688.dll
111.dll
Ily688.dll
Kernel66.dll
Reg678.dll
** Alle .dll bestanden bevatten de backdoor-componenten.

1c) Aanpassing van het standaard Windows-bestand Win.INI.
Hieraan wordt toegevoegd de regel:
Run=rpcsvr.exe

Registry
2a) Aanpassing van de volgende registry-sleutel:
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-> met de waarde toevoeging:
winhelp [locatie bestand]\winhelp.exe
WinGate initialize [locatie bestand]\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll

2b)HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\
Windows
-> Hieraan wordt toegevoegd de waarde:
"run RAVMOND.EXE"

2c)HKEY_CLASS_ROOT\txtfile\shell\open\command
-> Hiervan wordt de waarde aangepast in:
winrpc.exe %1

Overige,....
3a) Indien de worm erin slaagt om connectie te leggen met een netwerkverbinding wordt in het taakvenster actief het proces "Microsoft NetWork FireWall Services" (Sluit deze af voor u de worm verwijderd, zie hieronder).

3b) Onderstaand de lijst met wachtwoorden die de worm gebruikt om als "administrator" in te loggen binnen gedeelde netwerken.

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2002
2003
2600
321
54321
654321
666666
888888
88888888
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
home
Internet
login
Login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xxx
yxcv
zxcv

Verwijder instructies:
1a. Verwijder het virus met één van de gratis online scanners

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
Type daar dan copy regedit.exe regedit.com
(letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en druk dan op enter.
Type daarna start regedit.com
(letterlijk: start[spatie]regedit.com) en druk dan weer op enter.

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Verwijder beide genoemde registry-sleutels.

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner.