W32.HLLW.Cult.C@mm – Internet Explorernek álcázva

A fertőzött e-mail paraméterei

Tárgy: Hi, I sent you an eCard from BlueMountain.com
Csatolmány: BlueMountaineCard.pif
Tartalom: To view your eCard, open the attachment
If you have any comments or questions, please visit http://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.

A féreg tulajdonságai

Felfedezésének ideje: 2003. április 2.
Utolsó frissítés ideje: 2003. április 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 22.016 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba iexplorer.exe néven
– hozzáadja a sysconfig iexplorer.exe bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– Windows 9x/Me alatt service processként regisztrálja magát
– IRC-n keresztül értesíti alkotóját
– véletlenszerűen hoz létre e-mail neveket, a következő címek használatával: hotmail.com, msn.com, yahoo.com, Roadrunner.com, Earthlink.net, email.com
– elküldi magát a fent említett karakterisztikában az imént létrehozott címekre

A féreg trójai tulajdonságai által kínált lehetőségek

– hálózati és rendszerinformációk megszerzése és elküldése
– file-ok letöltése és futtatása
– a feltelepített féreg frissítése
– IRC-n keresztül másoknak való elküldése
– e-maildömping küldése (automatikusan generál egy e-mailcímet egy sokszereplős listából véletlenszerűen összeállítva)