A McAfee, Unidade de Negócios da Network Associates, fornece
O W32/Anset@MM tenta se auto-enviar por email para todos os usuários listados no Windows Address Book e para os endereços encontrados em arquivos temporários de Internet. A mensagem contendo o vírus tem como assunto “ANTS Version 3.0” e o texto está escrito em alemão e inglês. O arquivo anexo é entitulado ANTS3SET.EXE.
Quando executado, o arquivo infectado produz uma cópia de si mesmo em C:ANTS3SET.EXE e com um nome aleatório para dentro do diretório do Windows. O vírus cria uma chave de registro para ser carregado na inicialização da máquina e possui uma falha que pode causar erros na rotina de e-mail. Esta praga foi encontrada em três variantes. As variantes A e B possuem tamanho de 179712 bytes e a variante C tem tamanho de 186880 bytes.
O W95/Elkern.cav, que atua em ambiente Windows 98 e Windows ME, cria uma cópia completa de um arquivo infectado que foi executado. A cópia é feita dentro do diretório WindowsSystem, utilizando o nome de WQK.EXE e classificando esse arquivo como oculto. O WQK.EXE não é apresentado com um “ícone” (que é anulado pelo vírus) e pode variar de tamanho e conteúdo. O vírus pode se espalhar pela rede local.
O worm W32/Klez@MM chega anexo a uma mensagem de correio eletrônico que pode apresentar diferentes remetentes, como king@21cn.com, flag@21cn.com, feiyiming@citiz.net e outros. O assunto também pode conter diferentes frases, como “How are you?”, “Look at the pretty”, “We want peace” e outros. O corpo da mensagem é um texto em inglês sobre emprego e o arquivo anexado também varia.
Quando o arquivo do worm é executado, ele se auto-copia como KRN132.EXE na pasta Windows. Uma chave de registro é adicionada para que o W32/klez@MM seja carregado na inicialização do sistema. O vírus possui códigos que procuram por compartilhamentos de rede abertos para se propagar, executando a infecção, que ocorre em intervalos de 8 horas.
