http://upx.sourceforge.net

El gusano captura las direcciones de correo de la carpeta temporal de Internet o de archivos con las siguientes extensiones:

• csv
• ctl
• dhtm
• dsp
• dsw
• eml
• fdb
• hlp
• imb
• imh
• imm
• ini
• jsp
• ldb
• ldif
• log
• mbx
• mda
• mdb
• mde
• mdw
• mdx
• mht
• ml
• mmf
• msg
• nab
• nch
• nfo
• nsf
• nws
• ods
• oft
• php
• phtm
• pmr
• pp
• rm
• xhtml
• xls

Los mensajes tienen las siguientes características:

• webmaster@games.com
• games@cnn.com
• webmaster@gamespot.com
• webmaster@ign.com
• webmaster@gamepro.com
• webmaster@gamerevolution.com
• webmaster@ahker-games.org
• webmaster@downloads.com
• webmaster@arcade.com
• mini-games@iml.edu.lb

• FW: Check this out! LMFAO!!
• FW: Bin Laden mini game! Download it NOW! LOL!
• FW: Latest Bin Laden mini game!
• FW: Breaking News! Bin Laden's...MINI GAME! LOL!
• FW: BREAKING NEWS!! LOL!
• FW: FW: check Saddam's first ever mini game!
• FW: FW: Download Saddam's NEW mini game!
• FW: FW: Download Bush's mini game! LMFAO!
• FW: FW: CNN releases Bin Laden's mini game!
• FW: FW: CHECK this out! :)

Contenido, uno de los siguientes:

• Here it is! LOL!
• You'll find it in the attachement! Have fun!
• You'll find the game attached! LMFAO!
• Thanks to CNN for this new funny game! LOL! Keep it up!
• Just have fun...can't say much! LOL!
• Have fun! The best! enjoy!
• Awesome game. Download it! thanks CNN!
• It's cool!!!!!!!!!! I want to thank CNN!
• If you wanna laugh out loud...just try this mini game...! LOL!
• You'll find the mini-game in the attachement!!

Con el siguiente texto agregado:

Enjoy Bin Laden's & Saddam's latest mini-game!

Anexado: Mini-Game.zip

para ser ejecutado cada vez que se abre un archivo de texto modifica el valor:

"default" = "%Windir%\LSASS.exe %1"

en la sub-llave:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]

para deshabilita la utilidad de descarga Download Accelerator Plus (DAP) modifica el valor:

"BrowserIntegration" = "0"

en la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\speedbit\Download Accelerator]

luego termina los siguientes procesos:

• DAP.exe
• gcasDtServ.exe
• gcasServ.exe
• GIANTAntiSpywareMain.exe
• ccApp.exe

descarga el Winsock DLL de Microsoft Windows del URL:

http://www.aliensoftware.co.uk/[carpeta_removida]/MSWINSCK.OCX

Procede a registrar el archivo descargado mostrando esta falsa caja de diálogo:

descarga también al directorio raíiz C:\ una copia de sí mismo de nombre Mini-Game.zip de una dirección en geocities.com (actualmente deahbilitada).

contiene instrucciones para enviar esta archivo como anexado, a las direcciones de correo capturadas del sistema infectado.

Modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones:

• 127.0.0.1 www.rohitab.com
• 127.0.0.1 www.symantec.com
• 127.0.0.1 securityresponse.symantec.com
• 127.0.0.1 symantec.com
• 127.0.0.1 www.sophos.com
• 127.0.0.1 sophos.com
• 127.0.0.1 www.mcafee.com
• 127.0.0.1 mcafee.com
• 127.0.0.1 liveupdate.symantecliveupdate.com
• 127.0.0.1 viruslist.com
• 127.0.0.1 www.f-secure.com
• 127.0.0.1 f-secure.com
• 127.0.0.1 kaspersky.com
• 127.0.0.1 kaspersky-labs.com
• 127.0.0.1 www.avp.com
• 127.0.0.1 avp.com
• 127.0.0.1 www.kaspersky.com
• 127.0.0.1 www.networkassociates.com
• 127.0.0.1 networkassociates.com
• 127.0.0.1 www.ca.com
• 127.0.0.1 ca.com
• 127.0.0.1 mast.mcafee.com
• 127.0.0.1 www.my-etrust.com
• 127.0.0.1 my-etrust.com
• 127.0.0.1 download.mcafee.com
• 127.0.0.1 dispatch.mcafee.com
• 127.0.0.1 secure.nai.com
• 127.0.0.1 www.nai.com
• 127.0.0.1 nai.com
• 127.0.0.1 update.symantec.com
• 127.0.0.1 updates.symantec.com
• 127.0.0.1 us.mcafee.com
• 127.0.0.1 liveupdate.symantec.com
• 127.0.0.1 customer.symantec.com
• 127.0.0.1 rads.mcafee.com
• 127.0.0.1 www.trendmicro.com
• 127.0.0.1 trendmicro.com
• 127.0.0.1 www.grisoft.com
• 127.0.0.1 grisoft.com
• 127.0.0.1 windowsupdate.microsoft.com
• 127.0.0.1 messenger.hotmail.com

Finalmente libera y ejecuta el archivo:

C:\DDOS.EXE

y ejecuta y ataque DoS contínuo a:

http://www.cnn.com