Payload/Schade
* Het voert een intelligent uitgevoerde dDOS-aanval uit op de websites; Symantec.com & Mess.be
* Het de-activeert de lopende processen van geinstalleerde security-software indien aanwezig op het getroffen systeem.
* Het beschadigt lokaal opgeslagen bestanden

Herkenning
Copie wormbestand gedeeld in P2P-software
De worm stelt zich onder een aantrekkelijke naamstelling beschikbaar in de standaard gedeelde directory van de gebruikte p2p-software.

Infectie vindt plaats handmatig middels het openen van dit gedeelde bestand. Naast de verspreiding en de eventuele overlast die dit verzorgt kent de worm geen schadelijke bijwerkingen.

De worm gebruikt de volgende bestandsnamen:
ACDSee 5.5.exe
Adobe_Keyge.exe
Age of Empires 2 crack.exe
Aim bot ut3.exe
All Microsoft Products CD Key Generator.exe
All Norton Antivirus KEys!.exe
Ana Kournikova Sex Video (downloader).exe
Animated Screen 7.exe
Any Nick Name Msn 6.0.exe
AOL Instant Messenger Crasher.exe
aol password cracker.exe
Aol_cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
AVP Antivirus Pro Key Crack.exe
BabeFest 2003 ScreenSaver 1.6.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
Britney Spears Sex Video.exe
Buffy Vampire Slayer Movie.exe
BurnDvds.exe
Business Card Designer Plus 7.9.exe
cable modem ultility pack.exe
cable modem.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Cool Edit Pro v2.55.exe
Counter Strike - See Through Walls.exe
counter-strike.exe
Crack Passwords Mail.exe
Credit Card Numbers generator(incl Visa,MasterCard).exe
Credit_Card_Numbers_generator.exe
Darkness_Krew.exe
DeadAim 4.0 KeyGen.exe
Diablo 3 Crack.exe
Diablo_2_Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DivX Video Bundle 6.5.exe
Divx_pro (FINAL!).exe
Divx_Pro_5.1_Serial.exe
Doom III (Cd KEys).exe
Download Accelerator Plus 6.1.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
Dvd_Plus_Crack.exe
Dvd_Ripper(The Best 04).exe
Dvd_To_Vcd.exe
Easy_Dvd_creator_Crack.exe
Easy_Dvd_Ripper.exe
Edonkey2000-Speed me up scotty.exe
Fifa 2004 (Cd Crack).exe
FIFA2003 crack.exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
Game Cube Real Emulator.exe
GetRight 5.0a.exe
Gothic2 licence.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
Guitar Chords Library 5.5.exe
Hack Any Kazaa User.exe
Hack The School.exe
Hack Website Easy.exe
Hacker_The_LoveStory.exe
Half Life 2 (Cd Crack).exe
Half Life 2 (cd Keys).exe
Harry potter2 Crack.exe
Hitman_2_no_cd_crack.exe
Hotmail Hacker Gold (All Msn Versions!).exe
Hotmail_Hacker_2003-Xss_Exploit.exe
Ip Nuker V6 (Reall Works).exe
KaZaA Hack 2.5.0.exe
Kazaa Lite )FINALL!(.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
KaZaA Speedup 3.6.exe
KaZaA-Hack_2.5.0.exe
Links 2003 Golf game (crack).exe
Living Waterfalls 1.3.exe
Love.exe
LYNDEN.exe
Macromedia product keys.exe
Macromedia_Keygen.exe
Mafia_crack.exe
Mail Bomber For msn messsenger 6.0.exe
Matrix Screensaver 1.5.exe
Mcafee Antivirus Scan Crack.exe
MediaPlayer Update.exe
Messenger Plus Latest!.exe
Microsoft .NET hack.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
mIRC 6.40.exe
Msn 6.0 (Multi Messenger).exe
Msn 6.0 Crasher!.exe
Msn 6.0 Kicker.exe
Msn 6.0 Password Cracker.exe
Msn Emotions (Version 6.0).exe
Msn Emotions (Version 6.1).exe
Msn Ip Finder 2004.exe
Msn Messenger 6.0 Bomber!.exe
Msn Messenger Betta 6.2.exe
MSN Password Hacker 5.7 (worked on my ex-girlfriend!).exe
Music Download 2003 (Full Albums).exe
MWorld Of Warcraft (FULL) Installer and Downloader.exe
NBA2003_crack.exe
Need 4 Speed crack.exe
Nero_Burning_Rom_Crack.exe
Netbios Nuker 2003.exe
Netbios Nuker 2004.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
Nimo CodecPack (new) 8.0.exe
Nimo_Codec_PackUpdater.exe
Norton Anvirus Key Crack.exe
PalTalk 5.01b.exe
pamela_anderson.exe
Panda Antivirus Titanium Crack.exe
play station emulator.exe
Pop-Up Stopper 3.5.exe
Popup Defender 6.5.exe
PS2 PlayStation Simulator.exe
Ps2 Real Emulator.exe
Quake 3 Keygen (works Great).exe
Quake3 - See through wallz.exe
Quick Time Key Crack.exe
QuickTime_Pro_Crack.exe
Real Sex Toys!.exe
Screen saver christina aguilera naked.exe
Security-2003-Update.exe
Serials 2003 v.8.0 Full.exe
Serials 2004 v.8.0 Full.exe
serials2000.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
Space Invaders 1978.exe
Splinter_Cell_Crack.exe
Starcraft serials.exe
Stripping MP3 dancer+crack.exe
Sub 7 2.9.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
Unreal Tournament 2003 (Cd Crack).exe
Unreal Tournament 2003 (Cd KEys).exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2003_bloodpatch.exe
UT2003_keygen.exe
UT2003_no cd (crack).exe
UT2003_patch.exe
VB6.exe
Visual Basic (ALL KEYS GEN).exe
Visual Basic 6.0 Msdn Plugin.exe
Visual Basic Decompiler.exe
warcraft 3 crack (Really Works).exe
warcraft 3 serials.exe
WarCraft_3_crack.exe
winamp plugin pack.exe
WindowBlinds_4.0.exe
Windows XP complete + serial.exe
Windows Xp Exploit.exe
WinOnCD 4 PE_crack.exe
WinRar 3.xx Password Cracker.exe
WinZip 9.0b (CRACK).exe
WinZip 9.0b.exe
winzip full version key generator.exe
Winzip KeyGenerator Crack.exe
WinZipped Visual C++ Tutorial.exe
XNuker 2003 2.93b.exe
XNuker_2003_2.93b.exe
Xvid_Codec_Installer.exe
Yahoo Account Stealer.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe

Preventieve maatregelen:
Herkenning van besmettting:

Bestanden
1a. Aanwezigheid van een van onderstaande bestanden op uw systeem, aanwezig op wisselende locaties:

** note: Let op de wijzigingsdatum van deze bestanden, deze is gelijk aan de datum van infectie. Dit om verwarring met normaal gebruikte (programma) bestanden te voorkomen.

Config.pif
Darkness_Krew (OWnZ ya).exe
Help.exe
Help.exe
Home Work.doc.pif
Live update.pif
Norton Anitivirus 2004.exe
Rude Boi(Full Screen Saver).scr
Windows Tools.exe
Windows Update.exe
Windows Update.pif
W32.rudeboi.exe

1b. De worm tracht een stuk code toe te voegen aan normaal gebruikte (windows) bestanden, hierdoor worden de programma`s onbruikbaar, er bestaat kans op instabiliteit van uw systeem.
Het gaat om mismaking van de volgende (programma) bestanden:
msnmsgr.exe
navw32.exe
regedit.exe
regedit.exe
rundll.exe
rundll32.exe
underwater.scr
winzip32.exe
wscript.exe

Registry
2a. De waarde van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

wordt aangepast in:
"App.EXEName"="\.exe"

Overige,...
3a. De worm tracht de lopende processen van de volgende applicaties af te sluiten:
MS-DOS Prompt
Norton Antivirus
Registry Editor
System Configuration Utility
Windows Task Manager

3b. dDOS (Denail of Service) aanval op twee websites:
Middels de PING-applicatie stuurt de worm, iedere seconde, ICMP Echo Request Packets met een datagrootte van 65.500 bytes naar de IP-adressen van Symantec.com & Mess.be.

Verwijder instructies:
1a. Verwijder het virus met één van de gratis online scanners

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.