Wirus usuwa pliki DLL

Po uruchomieniu szkodnik wykonuje następujące operacje:

tworzy unikatowy identyfikator o nazwie Masum;

podejmuje próbę aktywowania funkcji ISpeechVoice.Speak i odtworzenia następującego tekstu:

How are you. I am back. My name is mister hamsi.

I am seeing you. Haaaaaaaa.

You must come to turkiye.

I am cleaning your computer.

5. 4. 3. 2. 1. 0. Gule. Gule.

Następnie robak kopiuje się do folderu głównego dysku C z nazwą masum.exe oraz do folderu Windows z następującymi nazwami:

Adapazari.exe

Ankara.exe

Anti_Virus.exe

Cekirge.exe

KdzEregli.exe

Messenger.exe

Meydanbasi.exe

My_Pictures.exe

Pide.exe

Pire.exe

oraz tworzy dla pliku KdzEregli.exe następujący klucz w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

"Microzoft_Ofiz"="%WINDIR%KdzEregli.exe"

Ponadto szkodnik tworzy klucz:

[HKCUSOFTWAREMicrosoftMasumWho]

"Who"="OnEmLi_DeGiL"

Robak wykorzystuje do wysyłania zainfekowanych wiadomości e-mail program MS Outlook oraz jego książkę adresową. Zainfekowane wiadomości wyglądają następująco:

Temat:

Listen and Smile

Treść:

Hey. I beg your pardon. You must listen.

Nazwa załącznika: Masum.exe

1, 6, 20 oraz 25 dnia każdego miesiąca robak zmienia adres URL strony startowej przeglądarki Internet Explorer na tekst:

Konneting du pepil and dizkoneting you.

Anlami: Baglansan ne olacak, baglanmasan ne olacak.

Zaten hatlar burada rezalet.

2, 15 oraz 17 dnia każdego miesiąca szkodnik usuwa wszystkie pliki INI zapisane w folderze Windows.

10 oraz 23 dnia każdego miesiąca szkodnik usuwa wszystkie pliki DLL zapisane w folderze Windows.