Der Wurm Maggot.A ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Von:
noreply@coca-cola.com
Betreff: Coca Cola wishes you Merry Christmas!
Dateianhang: coupon.zip.exe
Größe des Dateianhangs: 449.024 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe
Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe
Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe
Folgende Registryschlüssel werden geändert:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List
Neuer Wert:
• :\windows\\system32\\vxworks.exe"="c:\windows\\sys tem32\\vxworks.exe:*:Enabled:Explorer