Prim Hírek

A féreg saját levelező alkalmazását kihasználva küldi el másolatait a fertőzött gépről, annak merevlemezein talált címekre, illetve arra más károkozót is juttat.

Amikor a féregkód futni kezd, a képernyőn megjelenik egy uglym.jpg kép, ami installálja a férget a rendszerre. A W32/Wurmark-F több állományt helyez a Windows System mappába. Elsősorban a férget tartalmazó attached.zip, állományt, illetve a féreg másolatát tartalmazó xxz.tmp fájlt. Emellett a W32/Wurmark-F féreg a %WinSys% könvtárba juttatja az alábbi "clean" állományokat:

ANSMTP.DLL
bszip.dll
uglym.jpg

A W32/Wurmark-F feltesz még a fertőzött gépre egy másik károkozót, a W32/Rbot féregcsaládból, svchosts.exe néven.

A merevlemezek alábbi kiterjesztésű állományaiból gyűjt címeket:

WAB
ADB
TBB
DBX
ASP
PHP
HTM
HTML
SHT
TXT
DOC

A féreg nem küld levelet azokra a címekre, melyekben az alábbi betűkapcsolatokat találja:

.gov
ada
avg
gri
icro
lavat
mcae
nod
panda
rsky
soph
sophos
symac

A W32/Wurmark-F férget tartalmazó attached.zip nevű melléklettel a leveleket valósnak tűnő címekről küldi el - meghamisítva a fertőzött gép címét:

adead_poet@hotmail.com
alex_edwards2000@msn.com
romeorichard@google.com
apiffany@cnet.com
sexy_lil_thing@no-ip.com
cutie_pie@ogrish.com
easy_lay666@lovenet.com
hunk_hogan78@hallmark.com
britany_slut56@sex.com
tit_fuck_909@gmail.com
good_fuck12@yahoo.com
blowjob_lips666@romance.com
tit_fuck_909@paltalk.com
sexy_guy88@aol.com
mucle_bound_hunk892@download.com

A levelek jellemzői az eddig ismertek alapján a következőek lehetnek:

Tárgy: Hhahahah lol!!!!

Szöveg:

i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! :D
email me back haha...

Tárgy: Your Pic On A Website!!

Szöveg:

I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!

Tárgy: Rate My Pic.......

Szöveg:

Hi ive sent 5 emails now and nobody will rate
my pic!! :( please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken :P

Tárgy: You have an Admirer

Szöveg:

Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment :)
please download and respond telling us if you
would like to make further contact with this
person.
Regards Hallmark Admirer Mail Admin.

A levélmelléklet neve is változhat, lehet az alábbiak közül valamelyik:

Pic_001.jpg.scr
Sexy_09.jpg.scr
Scan_04.jpg.scr
Photo_01.jpg.scr
admire_001.jpg.scr
is_this_you.jpg.scr
love_04.jpg.scr
for_you.pif

Kérjük, mint már többször megtettük, vigyázzanak, ha kéretlen levelet, leveleket kapnak, elsősorban azok csatolt állományaik megnyitására. Tekintsenek minden ilyen állományt "gyanúsnak". Megfelelően frissített antivírus-alkalmazások általában észlelik a tömörített állományban is, vagy annak "kicsomagolásakor" a károkozókat. De ha mégsem...?