W32.HLLW.GOP.F@mm – lerabolt ICQ-adatok

A fertőzött e-mail tulajdonságai

Tárgy, Tartalom: kínai nyelvű szöveg
Csatolmány: photo.gif.exe

A féreg paraméterei

Felfedezésének ideje: 2003. január 4.
Védekezés elkészültének ideje: 2003. január 4.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 378.880 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát rejtett, csak olvasható, rendszer attributummal a System könyvtárba a következő neveken: windll.exe, photo.gif.exe, notepads.exe
– hasonló beállításokkal másolja fel magát a Program Files könyvtárban található Tencent mappába az alábbi neveken: QQ2000b.exe, QQ2000b.bak, QQ2000x.exe
– végezetül a C meghajtó gyökerébe másolja magát (QQ2002.exe)
– létrehoz egy parancsikont (shortcut) a felhasználó desktopján (OICQ.lnk), amely a féreg egyik másolatára mutat
– hozzáadja a Winlme [System elérési útvonala]/windll.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a Registry-t, mégpedig úgy, hogy minden text file megnyitásakor automatikusan futtatásra kerüljön: a HKEY_LOCAL_MACHINE/Software/Classes/txtfile/shell/open/command kulcs alapértékét átállítja: [System elérési útvonala]/notepads.exe˝%1 %*
– az Outlook Address Bookjából megszerzi az e-mailcímeket, majd a kliens segítségével továbbítja is magát, az alábbi SMTP szervereket használva:
smtp.163.net
stmp.263.net
smtp.sohu.com
smtp.163.com
smtp.china.com
smtp.sina.com
– hálózati megosztásokon is képes szaporodni; feltérképezi az összes megosztott meghajtót és könyvtárat, majd minden olyan helyre, ahova beírási joga van, felmásolja a QQ2002.exe állományt
– ellopja az ICQ login információkat (felhasználónév és jelszó)
– az így megszerzett adatokat továbbítja készítőjének