De eigenschappen van verzending via e-mail varieren nogal.
De gebruikte teksten Engelstalig. Voor de verzending via e-mail maakt het gebruik van een eigen SMTP-engine. Activering vindt plaats door het bijlagebestand (handmatig) te openen.

Deze worm kent naast de genoemde acties geen direct schadelijke eigenschappen.

Eigenschappen van het e-mailtje

-Afzender: [wisselend, een van onderstaand:]
account
admin
Administrator
Administrator
AutoMailer
AutoMailer
Error_Info
Fehler-Info
Home
Info
Info
Information
Kundenservice
Liste
Passwort
Register
Register
RobotMailer
RobotMailer
Schwarze-Liste
Service
Service
User-info
(willekeurige naam)@abuse.de
(willekeurige naam)@yahoo.com
(willekeurige naam)@yahoo.de
(willekeurige naam)@gmx.de
(willekeurige naam)@gmx.net
(willekeurige naam)@web.de
(willekeurige naam)@freenet.de
(willekeurige naam)@lycos.de

-Onderwerp: [wisselend, een van onderstaande:]
Bad Gateway
Besttigung
Confirmation Required
Connection failed
damn!
Datenbank-Fehler
Details
Einzelheiten
Faulty mail delivery
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey
Hey Du
hey you
Hi!
Hi, Ich bin's
Hi, it's me
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegal signs in Mail-Routing
Illegale Zeichen in Mail-Routing
Info
Info
Information
Information
Invalid mail sentence length
Mail delivery failed
Mail Delivery failure
mail delivery status
Mail Error
Mailzustellung fehlgeschlagen
Message Error
Na, berrascht?!
Oh my God
Registrierungs-Besttigung
Ung
Verbindung fehlgeschlagen
Verdammt
Warning!
Warnung!
Well, surprised?
Your document

-Tekst van het bericht: [wisselend, een van onderstaande:]
Ich war auch ein wenig
berrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye

Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwrter rauszubekommen!!!
Passwoerter.txt

Details entnehmen Sie bitte dem Attachment
Nhere Informationen befinden sich im Anhang.

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte berpr fen Sie nochmals diese E-Mail auf mgliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http://www.
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich gendert
Ihre Benutzernamen und Passwrter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http://www.
++++ E-Mail: KundenInfo

Wegen eines Datenbank- Fehlers knnte es mglicherweise zu einem Verlust Ihrer persnlichen Daten wie Kennwrter gekommen sein.
Wenn Sie Unregelmigkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank fr Ihr Verstndnis
+++ Ein Service von
+++ http://www.
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:

I was surprised, too! :-(
Who could suspect something like that?

All OK :)
see, what i've found!

hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye

I 've told you!:-) sometime I grab your passwords!

I hope you accept the result!
Follow the instructions to read the message.
Please read the document

Registration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.
++++ Mail To: User-info

*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:
_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com *** this line has been modified by Symantec for the purpose of formatting ***
** End of Transmission
The original message is a separate attachment.
--- Web: http://www.
--- Mail To: User-Hilfe

Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ http://www.
+++ Mail: home

The message has been attached.

Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha

Anybody use your accounts!
For further details see the attachment.

I have received your document. The corrected document is attached.
greets

-Bijlagebestand: [wisselend, een van onderstaande:]
met extensie .pif of .zip
abuse-liste
AMD-System.txt
anitv_text
Anleitung
AntiVirus-Text
attach-message
Benutzer-Daten
Block-Lists
corrected_text-file
Datenbank-Fehler
Dokument
instructions
KurzText
messagedoc
pass-message
Passwoerter.txt
schwarze-listen
text
Textdocument
Text-Inhalt
your_article
your_passwords

1a. Aanwezigheid van een copie van het wormbestand in de standaard Windows\directory. De naam van dit bestand wordt willekeurig samengesteld uit onderstaande lijst van woorden. De extensie is altijd .exe.

Voorbeeld: crypt32run.exe

32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win

1b. Aanwezigheid van een van onderstaande bestanden in de standaard Windows\System directory.:
bcegfds.lll
spoofed_recips.ocx
winsys32xx.zzp
winhex32xx
syst32win.dll
zmndpgwf.kxx

Registry
2. Aanwezigheid van de volgende twee registry-sleutels welke op de positie [1] verwijzen naar het bestand genoemd onder punt 1.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [1]
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce "" = "%<[1]>.exe %1"

-

Overige,....
3a. Na infectie kan eenmalig een windows-venster worden weergegeven met daarin de tekst:

STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall4.

3b. Indien een internetverbinding niet actief is tracht de worm zelf via een telefoon-account (indien aanwezig op systeem) connectie te maken met het internet.

1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Een registry sleutel verwijst in de "Waarde" altijd naar een bestand, vaak het virusbestand, gebruik de zoekfunctie van het register (CTRL-F) om deze bestanden (en bijbehorende sleutels) op te zoeken.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner.