W32.HLLW.Dax – adatainkat megsemmisítő féregvírus

A féreg paraméterei

Felfedezésének ideje: 2002. szeptember 18.
Védekezés elkészültének ideje: 2002. szeptember 18.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 36.864 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a System könyvtárba Rundlll.exe néven
– létrehozza a PowerManagement /rundlll.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– feltérképezi a hálózati viszonyokat, ha talál egy olyan megosztást, ahova büntetlenül átmásolhatja magát, akkor ezt meg is teszi (az új állomány neve Ordin Popescu.exe lesz)
– a kliens oldalt e-mailen keresztül értesíti, mely tartalmazza a megfertőzött számíógép IP-címét (is)
– megnyitja a 3256-os portot távoli hozzáférésre
– teljes adatvesztést is okozhat: a C meghajtó gyökerébe másol egy Test.com elnevezésű trójai programot, s módosítja az autoexec.bat állományt; a következő reboot után a trójai futtatásra kerül és felülírja a fizikailag első meghajtón található kritikus adatok egy részét