W32.HLLW.Stiq – hibás működésű féreg

A fertőzött e-mail tulajdonságai

Tárgy: egy az alábbiak közül:
– an adult screensaver slideshow program
– a Microsoft Explorer Patch
– a Desktop Game I got off the internet
– a brand-new MP3 player and plug-ins
– an Microsoft Internet Explorer Service Pack (Q401243)
– an Kaspersky Anti-Virus 4.0 bugfix
– Here it is
Tartalom: a következőkből egy:
– Here is the e-mail attachment I told you about earlier, It´s an installation program for an Outlook Service Release upgrade.
– Hey, sorry I haven´t written to you in a while. Well you could call it a while. I´m writing this E-mail to let you know of an attachment im sending with the next mail.
Csatolmány: install_.exe

A féreg paraméterei

Felfedezésének ideje: 2003. január 6.
Védekezés elkészültének ideje: 2003. január 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 80.384 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a következő állományokat a System könyvtárban: Systray_.exec, Runtray_.dll
– hozzáadja a SystemTray [Windows elérési útvonala]/systray_.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_CLASSES_ROOT/exefile/shell/open/command alapértékét a következőre: (Default) c:/windows/system/systray_.exe %1 %*
– módosítja a C:/Mirc/Script.ini állományt, így IRC-n keresztül is képes terjedni
– a fent ismertetett karakterisztikában megpróbálja továbbküldi magát Outlookon keresztül, de ezt az elrontott kód megakadályozhatja
– letörli az alábbi állományokat:
C:/Program Files/Norton AntiVirus/*.dat
C:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/*.*
C:/Program Files/Common Files/KAV Shared Files/*.*
– a HKEY_LOCAL_MACHINE/Software/McAfee/Scan95 Registry kulcshoz hozzáadja vagy módosítja az alábbi értékeket:
bVShieldEnabled dword:00000000
CurrentVersionNumber 666
DAT NONE
DATFILE -2000
SerialNum MYST v1.0 by MYSTiQUE
VirusInfoURL http://mafia.sexchat.ru