A Mixor.I féreg elsősorban olyan elektronikus levelekben terjed, amelyek első ránézésre a CNN-től érkeznek, de valójában a mellékletük magát a kártékony programot tartalmazza.
A Mixor.I készítői a felhasználókat azzal igyekeznek megtéveszteni, hogy a fertőzött emailek üzenetébe látszólag a CNN-től származó információkat jelenítenek meg. Majd közlik a felhasználóval, hogy a csatolt fájl megnyitásával további hírekhez juthatnak. A valóságban természetesen erről szó sincs, hiszen a melléklet megnyitásakor nem egy hír jelenik meg, hanem a féreg indul el.
A Mixor.I legfőbb veszélye, hogy hatástalanítja a Windows beépített tűzfalát, majd megpróbálja leállítani a biztonsági szoftvereket. Ezzel további kártékony programoknak szolgáltatja ki a fertőzött számítógépeket.
Amikor a Mixor.I féreg elindul, akkor az alábbi műveleteket hatja végre:
1. Létrehozza a következő fájlt:
%System%\wservice.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja az
“UpdateService” = “%System%\wservice.exe” értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess
kulcsához hozzáadja a
“Start” = “4” értéket.
Ezzel megpróbálja hatástalanítani a Windows tűzfalát
4. A Windows címjegyzékéből email címeket gyűjt össze.
5. Az összegyűjtött email címekre elküldi saját magát.
A fertőzött levelek tárgya lehet:
One of the following:
White house news!
URG
ATTN TO EVERYBODY!
READ AND RESEND ASAP!
Incredible news!
NEWS!
ATTN
URGENT NEWS!
6. A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
CNN latest news.exe
CNN news reader.exe
WWW-CNN-COM.exe
cnn agent.exe
cnn site explorer.exe
cnn.exe
news agent.exe
news reader.exe
read me.exe
webnews agent.exe
7. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.