W32.Hobble.F@mm – önmagát frissítő féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: RE:
Csatolmány: két állomány, az egyik a féreg, másik egy text file
Tartalom: files for you – from [jelenlegi felhasználó e-mailcíme]

A féreg paraméterei

Felfedezésének ideje: 2002. november 6.
Védekezés elkészültének ideje: 2002. november 8.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 18.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti a cikk mellett látható ablakot
– felmásolja magát a Windows könyvtárba Kn0x.exe néven
– hozzáadja a WinSrv C:/[Windows elérési útvonala]/kn0x.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli egy előre meghatározott website-ról letölteni saját, frissebb változatát; ha sikerül, akkor ezt a Windows könyvtárban tárolja el Zippy.exe néven
– az Internet Explorer cache-ében található .htm és .html állományokból kigyűjtött e-mailcímekre (melyeket az email.txt állományban tárol) továbbítja magát, saját SMTP motorját használva
– meghatározza, léteznek-e a következő könyvtárak:
C:/Program Files/KaZaA/My Shared Folder
C:/KaZaA/My Shared Folder
– ha igen, akkor bemásolja magát a fenti hely(ek)re a következő neveken:
All GamesHack.exe
HotMailHack.exe
ICQ Password Hack.exe
Macromedia Flash MX.exe
Swat 3 Full Download.exe
Tacony.exe
Unreal Tournament 3 FullDownloader.exe
WarCraft III Full.exe
WIN XPCrack.exe