Az MSNWorm.GI féreg a Windows Live Messenger azonnali üzenetküldő szolgáltatásain keresztül próbál minél több számítógépre felkerülni.

Az MSNWorm.GI nevű féregnek egyetlen célja van: minél több számítógépet megfertőzni. A kártékony program a Microsoft azonnali üzenetküldő szolgáltatását szemelte ki magának, és annak kihasználásával igyekszik terjedni. A módszere azonban nagyon hasonlít a többi, ilyen jellegű kártékony programéhoz. Amint rákerül egy számítógépre, akkor feltérképezi, hogy elérhető-e a Windows Live Messenger alkalmazás. Ha igen, akkor elkezd a címlistában szereplő személyek számára üzeneteket küldözgetni. Ebben arra próbálja rávenni a gyanútlan felhasználókat, hogy egy linkre kattintva tekintsenek meg egy fényképet. A féreg által generált URL első ránézésre a Facebookra hivatkozik, azonban a valóságban egy kártékony weboldalra mutat, amelyről a féreg képes letöltődni. A kártevő a fertőzött rendszerek alapértelmezett böngészőjében a Facebook hivatalos weboldalát is megjeleníti, de mindezt csak megtévesztési célokkal teszi. Az MSNWorm.GI olyan állományok formájában terjed, amelyek dupla (.jpg.exe) kiterjesztéssel rendelkeznek.

Windows Live Messengeren terjed az MSNWorm féreg

Amikor a MSNWorm.GI féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő állományt:
    %Windows%/MSNMSGRSS.EXE
  2. A regisztrációs adatbázishoz hozzáfűzi az alább bejegyzést:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Windows UDP Control Center = msnmsgrss.exe
  3. Megvizsgálja, hogy a fertőzött rendszeren fut-e a Windows Live Messenger. Amennyiben igen, akkor elkezd üzeneteket küldözgetni a címlistában szereplő személyek számára.
  4. Az elküldött üzenetekben szereplő hivatkozás egy kártékony weboldalra mutat, amelyről a féreg fájlja rákerülhet a számítógépekre.
  5. Megtévesztés céljából az alapértelmezett böngészőben megjeleníti a Facebook hivatalos weboldalát.