Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 20 KB (kompresja UPX). Szkodnik wyposażony jest w procedurę backdoor oraz może przeprowadzać ataki DoS.

Instalacja

Po uruchomieniu robak kopiuje siÄ™ do folderu Windows z nazwÄ… Jammer2nd.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Jammer2nd"="%Folder Windows%jammer2nd.exe"

Dodatkowo szkodnik tworzy następujące pliki w folderze Windows: PK_ZIP_ALG.LOG oraz PK_ZIP.LOG.

W celu oznaczenia zainfekowanego komputera robak tworzy unikatowy identyfikator (S)(k)(y)(N)(e)(t).

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

• ADB
• ASP
• CFG
• CGI
• DBX
• DHTM
• DOC
• EML
• HTM
• HTML
• JSP
• MBX
• MDX
• MHT
• MMF
• MSG
• NCH
• ODS
• OFT
• PHP
• PL
• PPT
• RTF
• SHT
• SHTM
• STM
• TBB
• TXT
• UIN
• VBS
• WAB
• WSH
• XLS

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

• Adres nadawcy: wybierany z adresów znalezionych w zainfekowanym komputerze

• Temat (wybierany z poniższych możliwoÅ›ci):

  Hello
  Hi
  Important
  Important bill!
  Important data!
  Important details!
  Important document!
  Important informations!
  Important notice!
  Important textfile!
  Important!
  Information
  

• Nazwa zaÅ‚Ä…cznika (wybierana z poniższych możliwoÅ›ci):

  Bill.zip
  Data.zip
  Details.zip
  Important.zip
  Informations.zip
  Notice.zip
  Part-2.zip
  Textfile.zip
  

Informacje dodatkowe

Robak otwiera port TCP 665 i oczekuje na zdalne polecenia hakera.

W zależności od daty systemowej robak może przeprowadzać ataki DoS na następujące serwisy:

• www.educa.ch
• www.medinfo.ufl.edu
• www.nibis.de