Alias:W32/Auric@MM [McAfee], W32/Magold-A [Sophos], WORM_MAGOLD.A [Trend], Win32.Auric.A [CA], I-Worm.Magold [KAV], W32.HLLW.Magold
Type:Worm 
Size:240,640 bytes(packed), 622,592 
Origin: 
Date:00-00-0000 
Damage:Spreads by email, P2P networks and IRC Chat . 
VDF Version:6.23.00.00. 
Danger:Medium 
Distribution:High 

DistributionThe virus sends itself to all email addresses it can find in Windows Outlook and in files of type: .html, .htm or .hta. It can use a false sender's address. The email sent by the worm has the following structure:

From: erotika@lap.hu
Subject: Maya Gold-os kepernyokimelo!
Attachment: Maya Gold.scr
Body: Tisztelt cím!
Az EROTIKA.LAP.HU nézettségének növelése érdekében egy kis ízelítõt
kíván adni kínálatából az Internet felhasználóknak!
FIGYELEM: A 'Maya Gold.scr' nevû csatolt állomány egy képernyõvédõ.
Mint a neve is mutatja Maya Gold pornószínésznõrõl tartalmaz különbözõ képeket.
Az állományt ajánlott elõbb a lemezre menteni, majd utána futtatni.

Amennyiben valami problémája, kérdése van, írjon a következõ címre:
erotika@lap.hu

Üdvözlettel: EROTIKA.LAP.HU


English translation:

Dear Recipient,

In order it increase the popularity of EROTIKA.LAP.HU we would like
provide you with a sample of our offers.
WARNING: The attached file 'Maya Gold.scr' is a screen saver.
As the name suggests it contains pictures of the porn actress Maya Gold.

In case you have a problem or question you can write to the following
address: erotika@lap.hu

Regards,

EROTIKA.LAP.HU

Technical DetailsMagold.A copies itself as %WinDIR%\raVe.exe. It tries to describe a site with the following text:

SEGÍTS NEKEM!!!

Én a nyomtató vagyok, és arra szeretnélek megkérni, hogy beszélj már a
Windows-zal, mert ez már nem állapot!!
Állandóan a hülye kérdéseivel, kéréseivel zaklat, 'Van még
lapod?', 'Tudsz színesen nyomtatni?', 'Ezt most fektetve
szeretném!', 'Készen állsz már?'.
Gondolom te is egyetértesz velem, hogy ez így nem mehet tovább! Valamit
tenni kell!

ÜDVÖZLETTEL MEGÉRTÕ ÉS SEGÍTÕKÉSZ BARÁTOD: A NYOMTATÓ

PUNK'S NOT DEAD
=:-)
=:-)
=:-)
=:-)
...

English translation:

HELP ME!

I'm the printer and would like to ask you to talk to Windows because this
is getting out of hand. It is continuously bugging me with silly questions
like: 'Do you still have paper?', "Can you print in color?", "I'd like to
have this one in landscape mode.", "Are you ready?".

I think you agree with me that this can not go on like this any longer.

Regards,

Your sympatethic, helpful friend: The Printer

The virus contains reference to x- rated websites and to Hungarian porno star Maya Gold.

It makes the following registry entries:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run´ "raVe"="%WinDIR%\raVe.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices "raVe"="%WinDIR%\raVe.exe"
The worm will be activated on every Windows start.
It also changes the following:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command %WinDIR%\raVe.exe "%1" %* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command %WinDIR%\raVe.exe "%1" %* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command %WinDIR%\raVe.exe "%1" %* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command %WinDIR%\raVe.exe "%1" %* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command %WinDIR%\raVe.exe "%1" %*
Thus, the worm is activated every time a file of the following types is opened: .exe .com .bat .pif. .scr.

It copies itself as Maya Gold.scr into download directories of the following programs:
%ProgramFiles%\Limewire\Share\Maya Gold.scr %ProgramFiles%\Gnucleus\Downloads\Maya Gold.scr %ProgramFiles%\Gnucleus\Downloads\Incoming\Maya Gold.scr %ProgramFiles%\Shareaza\Downloads\Maya Gold.scr %ProgramFiles%\Bearshare\Shared\Maya Gold.scr %ProgramFiles%\Edonkey2000\Incoming\Maya Gold.scr
%ProgramFiles%\Morpheus\My Shared Folder\Maya Gold.scr %ProgramFiles%\Grokster\My Grokster\Maya Gold.scr
%ProgramFiles%\ICQ\Shared Files\Maya Gold.scr
%ProgramFiles%\Edonkey2000\Maya Gold.scr

The virus displays a false message:
"DirectX Error". Abbreviations appear on the screen and the mouse can not be moved in some positions.
Description insérée par Crony Walker le mardi 15 juin 2004

Retour . . . .