W32.Hunch.E@mm – file-törlő féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: üres
Csatolmány: változó
Tartalom: Mensaje importante para en el archivo adjunto…

A féreg paraméterei

Felfedezési ideje: 2002. augusztus 20.
Utolsó frissítés ideje: 2002. augusztus 22.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Macintosh, Unix, Linux
Mérete: 24.576 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a fent ismertetett karakterisztikában továbbküldi magát az Outlook Address Bookjában található e-mailcímekre
– a cikk végén látható grafikát jeleníti meg a képernyőn
– csak Windows Me esetén megkeresi a C:/_RESTORE mappát és letörli a benne található .ocx, .cpl, .drv, .log, .sys és .dll file-okat
– felmásolja magát a System könyvtárba Msword.Exe néven illetve ugyanebbe a könyvtárba a következő három állomány egyikét szintén bemásolja: Salsa.Exe, Dejas.exe, Locas.exe
– a fentieknek megfelelően a következő bejegyzések egyikét hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz:
SALSA /Salsa.Exe
DEJAS /Dejas.Exe
LOCAS /Locas.Exe
– letöröl öt állományt, melynek a kiterjesztését az alábbi listából választja véletlenszerűen:
.xls, .doc, .wav, .dwg, .mp3, .bak, .cdx, .bmp, .htm, .hlp, .chm, .jpg, .gif, .scr, .ttf, .mid, .mdb, .dbf, .ico
– logot készít az előbbi manőveréről a C:/Windows/System/ListWin.txt állományba
– csak Windows 9x/Me esetén módosítja az autoexec.bat file-t, a következő parancsok hozzáadásával:
DEL > FORMAT C: /u /v:SALSA /autotest
DEL > FORMAT C: /u /v:DEJAS /autotest
DEL > FORMAT C: /u /v:LOCAS /autotest
Így következő rendszerindításkor leformázza a merevlemezt