W32.HLLP.Ipamor – EXE állományokat fertőző vírus

A vírus paraméterei

Felfedezésének ideje: 2002. október 2.
Védekezés elkészültének ideje: 2002. október 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 65.554 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a Windos könyvtárban az MSwdm.exe állományt (rejtett attributummal), amely a vírus tisztán fertőző része
– hozzáadja a WDM MSWDM.EXE bejegyzést a következő két Registry kulcshoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– megnézi, létezik-e a C:/Mswdm.pro állomány, ha igen, nem fertőz
– ha nem létezik, létrehozza a Sys.try állományt minden logikai meghajtó gyökerében, kezdve a D meghajtónál
– ha sikerült létrehoznia a fenti állományt, megkeresi az adott meghajtón az összes EXE állományt és megfertőzi őket, azaz hozzáfűzi magát ezen file-okhoz
– a vírus ezek után megpróbálkozik a számítógépre esetlegesen feltelepített antivírus és tűzfal szolgáltatások leállításával