Первое, что обнаружили программисты антивирусных лабораторий, – это текстовые (ASCII) строки внутри файла следующего содержания:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

Что в переводе звучит так:

Я хочу сказать, ЛЮБЛЮ ТЕБЯ, SAN!!

Билли Гейтс, почему ты допускаешь такое? Прекращай делать деньги и исправь своё программное обеспечение!!

После полного анализа червя выяснилось следующее:

n  Червь проникает в компьютер, используя удалённое выполнение команд посредством переполнения буфера.

n  Выполняется GET-запрос на закачку тела вируса через команду tftp.

n  Помещение файла msblast.exe в %WinDir%system32 и его запуск.

n  Регистрация червя в ключе автозапуска: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

n  Ключ: windows auto update=«msblast.exe»

n  Червь открывает порт 69 (tFTP-server) для последующего размножения.

Далее идёт процесс сканирования и генерации IP-адресов новых жертв. Это происходит следующим образом: червь сканирует IP-адреса текущей подсети и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров, после этого червь делает паузу в течение 1,8 секунды, а затем снова сканирует следующие 20 IP-адресов и повторяет этот процесс в бесконечном цикле до перезагрузки компьютера. Например, мы имеем подсеть 192.168.1.0/24, IP-адрес заражённого компьютера 192.168.1.134, червь сканирует так:

192.168.1.0-19

пауза 1.8 сек