W32.Hobble.H@mm – a .Net féregvírus új változata

A fertőzött e-mail tulajdonságai

Csatolmány: Topeace.exe
Tartalom: all we are saying, is give peace a chance. no to war and terrorism.

A féreg paraméterei

Felfedezésének ideje: 2002. november 29.
Védekezés elkészültének ideje: 2002. december 2.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 11.264, 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– jópár behatolásvédelmi (vírusírtó és tűzfal-) szoftver processét képes felismerni és működését kiiktatni
– hozzáadja a Dir0 012345:[azon könyvtár neve, ahol a féreg található] bejegyzést a HKEY_CURRENT_USER/Software/Kazaa/LocalContent Registry kulcshoz
– felmásolja magát az aktuális könyvtárba a következő neveken:
Avril_lavigne.exe
Brigadaocho.net.exe
Drunken_pope_pics.exe
Hitman2fulldownloader.exe
How_to_get_chicks_on_your_bed.exe
Scan.net.exe
Shakira.exe
Teach_yourself_c#_in_1_week.exe
Teach_yourself_cobol.net_in_21_days.exe
Tekken4_full_downloader.exe
Visual_studio.net2003_key.exe
– megkeresi azon állományokat, melyeknek kiterjesztésében megtalálható a ht összetétel (HTM, HTML), majd ezekből kiszedi a mailto: mező mögül az e-mailcímeket
– megjeleníti a következő üzenetet:
brigada ocho ::: ˝bringing the c# technology to the masses˝
msil.mass by PerrunBoy ::: http://vx.netlux.org/~b8