Worm.Stator
Temat oraz treść wiadomości napisane są w języku rosyjskim. Nazwa załączonego pliku (PE EXE) to photo1.jpg.pif.
Przetłumaczona treść wiadomości wygląda następująco:
Witaj!
Otrzymałam Twój adres od naszego wspólnego znajomego. Od niedawna używam Internetu i jest to mój pierwszy list elektroniczny!!! Nasz wspólny przyjaciel powiedział mi, że jeśli będę miała jakieś pytania, mogę zwrócić się do Ciebie…
Jestem ładna i towarzyska. (Zobacz załączone zdjęcie) Czekam na Twoją odpowiedź!!! Napisz coś o sobie i co chciałbyś wiedzieć o mnie. Pa pa! :)))))))))
Sveta Kovaleva
Dodatkowo robak instaluje się w systemie i infekuje klika plików systemowych, jak również wysyła hasła i inne poufne informacje o zaatakowanym komputerze.
Aby ukryć swoje działanie, robak wyświetla obrazek przedstawiający dziewczynę.
Po uruchomieniu robak instaluje się w systemie na kilka sposobów. Po pierwsze, infekuje pliki MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE oraz SCANREGW.EXE zapisane w katalogu Windows.
Wirus zmienia rozszerzenia tych plików na .VXD, po czym kopiuje się na miejsce oryginalnych plików z rozszerzeniem .EXE.
Następnie umieszcza kilka swoich dodatkowych kopii: SCANREGW_EXE oraz LOADPE.COM do katalogu systemowego Windows oraz IFNHLP.SYS katalogu Windows. Plik LOADPE.COM jest umieszczany w sekcji auto-run rejestru systemowego:
HKCR\exefile\shell\open\command = LOADPE.COM
Podczas uruchamiania dowolnego pliku Win32 EXE jest on infekowany przez kopię wirusa.
Następnie plik SCANREGW.EXE jest umieszczany w sekcji auto-run rejestru systemowego:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ScanRegistry = %SystemDir%\scanregw.exe
Robak wysyła z zainfekowanego komputera następujące informacje:
hasła i loginy umożliwiające zdalny dostęp do zaatakowanej maszyny;
hasła i loginy lokalnej sieci;
informacje o programach BCSoft NetLaunch, PySoft AutoConnect oraz CureFtp (jeśli są zainstalowane);
parametry systemowe programów Netscape i TheBat! (jeśli są zainstalowane);
listę serwerów ftp FAR (jeśli istnieje);
hasła FIDO ftp (jeśli istnieją);
konfigurację systemu i inne informacje systemowe.