W32.HLLW.Veedna.B – trükkös neveken behatoló féregvírus

A féreg tulajdonságai

Felfedezésének ideje: 2003. január 13.
Utolsó frissítés ideje: 2003. január 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 15.872 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát az alábbi neveken a C gyökerébe: Zephyr Song.mp3.scr, XFiles.mp3.scr, The Tuxedo.mp3.scr, Tuxedo.mp3.scr, Fire.mp3.scr, XFiles.mpg.scr, The Tuxedo.mpeg.scr, Tuxedo.mpg.scr, Reign of Fire.mpeg.scr, Pentium 5.doc.scr, Pentium 5.rtf.scr, How to make viruses.txt.scr, Playboy 9.mpeg.scr, Setup.exe.scr, vandEEd0.scr, The Incredible Hulk.scr, The Rock.scr
– megváltoztatja a HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command Registry kulcs értékét a következőre: [a féreg file-neve] ˝%1˝ %*; így minden alkalommal, amikor egy EXE állomány futtatásra kerülne, a féreg töltődik be
– hozzáadja a következő értékeket:
dir0 012345:C:/
dir1 012345:C:/My Documents
DisableSharing 0
a HKEY_CURRENT_USER/Software/Kazaa/LocalContent Registry kulcshoz
– megnyit egy minimalizált ablakot, melyet kinyitva egy, a szexet elemezgető szöveg válik láthatóvá
– böngészővel megkísérli megnyitni a www.rawtocash.net oldalt
– megnyit néhány, véletlenszerűen választott TCP/UDP portot