I) Mô Tả
Tên: Worm.Win32.Delf.bd (Kaspersky), W32.Fujacks.B (Symantec), W32/Fujacks virus (McAfee) 
Kiểu :  Worm (Sâu)
Kích thước:  28833 B
Nền tảng bị ảnh hưởng: Microsoft Windows
Phiên bản trong cơ sở dữ liệu:  1955 (20070103)
Win32/Fujacks.O Là một worm nó sẽ lây lan qua các thư mục được chia sẻ.
II) Cài đặt
Khi lây nhiễm nó sẽ tạo ra một bản sao chính nó lưu vào vị trí sau
 %system%\drivers\spoclsv.exe
Để có thể chạy được trên mọi hệ thống worm này sẽ ghi thêm giá trị  vào Registry ở các mục sau
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare" = "%system%\drivers\spoclsv.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare" = "%system%\drivers\spoclsv.exe"
Ghi tiếp vào những giá trị sau
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue" = 0
Các worm này tạo ra bản sao chính nó vào các the mục gốc cố định hoặc ổ đĩa di động bằng cách sử dụng các tin sau
 Setup.exe
Những tập tin được ghi vào trong cùng một thư mục
 Autorun.inf
Các worm coó găng sao chép chính nó vào thư mục mạng chia sẻ có sẵn sau đây là những tên được sử dụng
 Administrator
 Guest
 admin
 Root
Dưới đây là các mật khẩu được sử dụng
 0
000000
007
1
110
111
1111
111111
11111111
12
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
1313
2002
2003
2112
2600
5150
520
5201314
54321
654321
6969
7777
88888888
901100
a
aaa
abc
abc123
abcd
admin
admin123
administrator
alpha
asdf
baseball
ccc
computer
database
enable
fish
fuck
fuckyou
god
godblessyou
golf
harley
home
ihavenopass
letmein
login
Login
love
mustang
mypass
mypass123
mypc
mypc123
owner
pass
passwd
password
pat
patrick
pc
pussy
pw
pw123
pwd
qq520
qwer
qwerty
root
server
sex
shadow
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv
Nếu thành công sau đây là tệp tin được sử dụng
GameSetup.exe
III) Thông tin khác
Sâu này nó tạo ra các quá trình sử lý sau
Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe
Nó sẽ tắt bỏ mọi chương trình tạo ra cửa sổ bất kỳ với chuỗi sau trong tên của nó
VirusScan

NOD32

Symantec AntiVirus

Duba

Windows L++

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

pjf(ustc)

IceSword

Nó thay đổi các quá trình xử lý sau
Schedule

sharedaccess

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc
Tập tin sau sẽ bị xoá
      *.ghost
Các worm sẽ xoá các mục sau
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse]

Worm này sẽ tạo ra một list (URLs) nó cố gắng tải xuốg các tập tin từ địa chỉ các tập tin đó sẽ được thi hành
Các worm tìm kiếm các ổ đĩa cho các tập tin với các đuôi mở rộng sau
.html
.asp
.php
.jsp
.aspx
Nó sẽ tìm trên ổ đĩa worm này sẽ tạo ra files trong mọi forder nó lây nhiễm là
Desktop_.ini

( Theo 911)