W32.HLLW.Suava – önmagát update-elő féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. március 26.
Védekezés elkészültének ideje: 2003. március 26.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 28.672 byte, 69.632 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

A kártevő két részből áll: letöltő és féreg komponens alkotja a Suava-t.

Letöltő részének működése

– letörli a Windows könyvtárból az Fb.exe állományt, ha az létezik
– letölti az Mswinsck.ocx nevű file-t, amely egy nem fertőző Visual Basic run-time library állomány
– letölt egy állományt az angelfire.lycos.com webcímről, melyet a Windows könyvtárba másol fel Fb.exe néven
– futtatja ezt a file-t

A féreg rész működése

– egészen a Q meghajtóig minden hálózati megosztást és könyvtárat feltérképez
– megkísérli magát felmásolni az alábbi helyekre Mspread.exe néven:
. Documents and Settings/All Users/Start Menu/Programs/Startup/
. Documents and Settings/All Users/Menu Start/Programma´s/Opstarten/
. Documents and Settings/All Users/Start-meny/Program/Autostart/
. Windows/Start Menu/Programs/Startup/
– egy előre meghatározott IRC szerverhez csatlakozik, ott pedig egy csatornához kapcsolódik, s a támadótól érkező parancsokra vár
– a következő műveletekre képes:
. egy meghatározott host ellen floodot indítani
. egy file-t az Internetről letölteni
. egy állományt futtatni