W32.HLLW.Oror@mm – tűzfalprogramokat kiiktató féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: a következőkből választ egyet véletlenszerűen
Zdrasti.., Ohoo!!, Pisamce, Liubofta e kato Rai, no moje da boli kato Ad, TinKi WinKy!!, HeY :), ZzZz :), Vajno!!, Blondinkii:), Hi BaBy :), HeY.., aBcDeFgHiJkLmNoPqRsT.., Don´t cry, Very Important, Miracle, LOVE is like HEAVEN but it can hurt like HELL., Blondies Forever :), Hi!!, WoWoWoWOWowo.., yoOo 😉
Csatolmány: a következőkből választ egyet véletlenszerűen
Love Zodiak, TNT!CC gEN, Panda Anti-Worm, Blondies, mTV Charts, Setup, Osama Your Mamma, [TNT]!CC geN, Sorry, Magic, Love, Zodiak, mTV, Faith, Kama Sutra, Fun, Smile, Pamela, Candy; mindegyik EXE kiterjesztésű
Tartalom: véletlenszeren választ egyet az előre definiált 8 szövegből

A féreg paraméterei

Felfedezésének ideje: 2002. augusztus 27.
Védekezés elkészültének ideje: 2002. augusztus 28.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Mérete: 106.496 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjeleníti a cikk végén látható álhibaüzenetet
– bemásolja magát a Windows könyvtárba Rundll16.exe néven
– hozzáadja a LoadCurrentProfile Rundll16.exe powprof.dll,LoadCurrentUserProfile értéket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a Windows bootolása folyamán a féreg is betöltődik a memóriába
– véletlenszerűen választ egy file-nevet a System könyvtár állományaiból és bemásolja magát annak a nevén, melyhez a következő kiegészítéseket teheti: 2k.exe, 16.exe, 32.exe (például C:/Windows/System/Netapi.exe-ből C:/Windows/System/Netapi16.exe lesz)
– a következő kiegészítést fűzi a Windows könyvtárban található Win.ini állományhoz:
[windows]
run=C:/< féregfile>
– a Program Files könyvtárból választ egy könyvtárat és bemásolja magát ide a könyvtár nevével és egy kiegészítéssel, mely a következő lehet: 2k, 16, 32
– hozzáadja a fenti helyre mutató értéket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a következő szöveges állományokat (nem fertőzők):
C:/Windows/Winfile.dll
C:/~msdos.—
C:/Windows/Def12x.dll
C:/Windows/Rn3a.vxd
– leállítja az összes windows ablakot, amelynek címe a következő kulcsszavak bármelyikét tartalmazza: black, panda, shield, scan, mcafee, labs, zone, alarm, agent, avp, msie, navap, mstask, webcheck, iomon, nai_vs_stat, virus
– könyvtárak után kutat, amennyiben olyanra bukkan, mely tartalmazza a következő kulcsszavak egyikét, megkísérli letörölni a benne található összes állományt: labs, zone, kaspers, mcafee, panda, avp, pc, cillin, black, ice, norton, virus
– a fent ismertetett karakterisztikában továbbküldi magát a bejövő levelek feladói számára, ehhez a saját SMTP-motorját használja
– felmásolja magát a megosztott könyvtárakba és hálózati meghajtókra a következő neveken: Kama Sutra, GiRlZ FoReVeR (Wow), Nikita v1.1 (Zip), Pamela Anderson (Porno Installation), Britney Spears Naked, Teen Sex Cam, Kurnikova Screensaver (6+), CrEdIt CaRdZ gEn, SeX, Faith; mindegyik EXE kiterjesztéssel rendelkezik
– felülírja a mIRC script file-ját, így IRC-n keresztül is képes terjedni