Levelező komponens
A programféreg az Outlook Express és az Outlook Inbox mappában (Bejövő üzenetek) lévő minden üzenetre automatikusan válaszol, amihez saját SMTP modulját és az smtp.163.com-ot használja. A féreg csatolt állományként van jelen az üzenetekben, az alábbi állománynevek egyikét használja:
fun.exe
images.exe
news_doc.exe
s3msong.exe
pics.exe
billgt.exe
midsong.exe
PsPGame.exe
hamster.exe
setup.exe
tamagotxi.exe
joke.exe
docs.exe
searchurl.exe
card.exe
pics.exe
Ezenkívűl az alábbi szabályszerűséget követve küldi tovább magát (ennek tudható be, hogy sokkal lassabban terjed, mint a klasszikus "mass-mailer" vírusok - ezt jelzi a vírus nevében a @M jelzés):
Ha az Inbox-ban lévő üzenet a ???@wherever.com címről érkezett, akkor a válaszlevél formátuma:
'name' wrote:
Message body
wherever.com account auto-reply:
' I'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!'
Get your Free wherever.com account now!
P>Programféreg komponens
A féreg képes hálózati megosztásokon keresztül is terjedni. Megkeresi a hálózaton megosztott könyvtárakat, alkönyvtárakat és az alábbi állománynevek valamelyikén odamásolja magát:
fun.exe
images.exe
news_doc.exe
s3msong.exe
pics.exe
billgt.exe
midsong.exe
PsPGame.exe
hamster.exe
setup.exe
tamagotxi.exe
joke.exe
docs.exe
searchurl.exe
card.exe
pics.exe
A programféreg továbbá megkeresi a %Personal% könyvtárban a .HT* állományokban található email címeket és az alábbi módon továbbküldi magát:
Subject: Cracks!
Body: Check our list and mail your requests!
Attachment: CrkList.exe
vagy
Subject: The patch
Body: I think all will work fine.
Attachment: Patch.exe
vagy
Subject: Last Update
Body: This is the last cumulative update.
Attachment: LUPdate.exe
vagy
Subject: Do not release
Body: This is the pack ;)
Attachment: Pack.exe
vagy
Subject: Beta
Body: Send reply if you want to be official beta tester.
Attachment: _SetupB.exe
vagy
Subject: Help
Body: I'm going crazy... please try to find the bug!
Attachment: Source.exe
vagy
Subject: Evaluation copy
Body: Test it 30 days for free.
Attachment: Setup.exe
vagy
Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.
Attachment: Sex.exe
vagy
Subject: Roms
Body: Test this ROM! IT ROCKS!
Attachment: Roms.exe
vagy
Subject: Documents
Body: Send me your comments...
Attachment: Docs.exe
Trójai komponens
A féreg egy 77,824 byte hosszú trójai programot is telepít a számítógépre az alábbi állománynevek valamelyikén: ILY.DLL, 1.DLL, REG.DLL és TASK.DLL. A trójai program megnyitja a 10468-as portot és figyelmeztető email-t küld a a hacker117@163.com és hello_dll@163.com címre. (Az email-ben a számítógép általános tulajdonságait is elküldi - egyes esetekben jelszavakat is.) A trójai program detektálásához a 4249-es adatbázisok szükségesek.
Tünetek:
Bejegyzések a regisztrációs adatbázisban (Registry)
A fent említett állományok jelenléte
Nyitott 10168 port
A fertőzés menete:
A féreg email-en és hálózati megosztásokon keresztül terjed. Válaszlevélként továbbküldi magát és/vagy bemásolja magát a megosztott hálózati könyvtárakba.
Futtatása után bemásolja magát a %System% könyvtárba:
WinGate.exe
rpcsrv.exe
syshelp.exe
winrpc.exe
WinRpcsrv.exe
A trójai komponens is a %System% könyvtárba kerül az alábbi néven:
1.dll
reg.dll
ily.dll
task.dll
(Megjegyzés: a %System% könyvtár a Windows operációs rendszerek rendszerkönyvtára, amely általában a C:\Windows\System könyvtárat jelenti Windows 9x/ME, C:\WINNT\System32 a Windows NT/2000, és a C: \Windows\System32 Windows XP esetén.)
Az alábbi kulcsok jönnek létre a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell
A trójai komponens szintén bejegyzést készít Regsitry-ben:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Az alábbi kulcs a szöveges állományok megnyitási módját állítja át:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "winrpc.exe %1"
A féreg Windows NT/2000 operációs rendszeren 'Window Remote Service' néven szervizként települ (WINRPCSRV.EXE). A trójai program szintén szervizként
1. dll_reg
2. 2. Windows Management Extension néven települ. A féreg módosítja a WIN.INI állományt az alábbiak szerint:
[windows]
run=rpcsrv.exe Eltávolítási utasítások:
1. Használja a 4249-es adatbázisokat.
2. Az alábbi EXTRA.DAT adatbázisokkal:
EXTRA.DAT - másolja be abba a könyvtárba, ahol a CLEAN.DAT, NAMES.DAT, és SCAN.DAT található, majd indítsa újra a víruskereső program szervizét (C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)
SuperExtraDat
Kiegészítő eltávolítási utasítások Windows ME/XP-hez
Változatok:
"A" variáns: 77,312 byte
"B" variáns:84,992 byte
"C" variáns:78,848 byte
További elnevezések:
I-Worm.Supnot.c (AVP)
W32.HLLW.Lovgate.C@mm (NAV)
W32/Lovgate.c@M
WORM_LOVGATE.C (Trend)