Vírushíradó – Üzenget az MSNworm féreg

Az MSNworm.GM féreg azonnali üzenetküldőkön keresztül, különböző képállományok mögé elrejtőzve igyekszik minél több számítógépre felkerülni.

Az MSNworm.GM féreg — hasonlóan az eddigi variánsokhoz — elsősorban a Windows Live Messenger azonnali üzenetküldő szolgáltatást szemeli ki magának, és ennek igénybevételével igyekszik terjedni. Amennyiben a fertőzött számítógépen található futó Windows Live Messenger alkalmazás, akkor az ahhoz tartozó címlista alapján üzeneteket kezd el küldözgetni. Ezek mellé egy fényképnek látszó állományt is csatol. Amennyiben azt a felhasználó megnyitja, akkor egy megtévesztési célokat szolgáló hibaüzenet révén arról értesül, hogy a képet nem lehet megtekinteni. Azonban ez idő alatt a féreg már elkezdi letölteni a saját fájljait, majd megfertőzi a számítógépet.

Az MSNworm.GM féreg a Windows könyvtárába másolja be a saját állományát, majd módosítja  a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulása után automatikusan be tudjon töltődni.

Amikor az MSNworm.GM féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
   %Windows%\FXSTALLER.EXE
2. A %Windows%\temp könyvtárába bemásol egy BURIM.EXE nevű állományt.
3. A regisztrációs adatbázisban létrehozza a következő értéket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   Windows UDP Control Center = fxstaller.exe
4. Megpróbál a Windows Live Messenger alkalmazáson keresztül terjedni.
5. A címlistában szereplő személyek számára üzeneteket küldözget, amelyek egy mellékelt képállomány megnyitására próbálják rávenni a címzetteket.
6. Amikor az üzenetekhez tartozó állományt a felhasználó megnyitja, akkor egy üzenetablak jelenik meg a következő szöveggel:
   “Picture can not be displayed.”
7. Letölt egy kártékony fájlt a számítógépre.