W32.Hobble.C@mm – magát víruskeresőnek álcázó féregvírus

A fertőzött e-mail tulajdonságai

Kétféle e-mailben érkezhet; az első:

Tárgy: Fwd: Scan your computer for this new virus threat…
Csatolmány: Anti-Bug.exe
Tartalom: This is a fix and removal for the new internet worm known as BugBear. 1 in ever 4 computers in infected with this virus. When run, it will scan your computer and notify you if you´re infected or not, then clean if infected

a második:

Tárgy: AntiVirus Updates:
Csatolmány: két darab, figyelemfelkeltő nevű állomány
Tartalom: A Removal to scan for the new BugBear Virus. Recommended by

A féreg paraméterei

Felfedezésének ideje: 2002. október 9.
Védekezés elkészültének ideje: 2002. október 11.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 23.040, 61.440 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– Windows 9x alatt service processként regisztrálja magát
– a féreg bemásolja magát a Windows könyvtárba Anti-Bug.exe és Shizzle.exe néven
– hozzáadja a WinSrv /Shizzle.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– Kazaa-n való terjedés érdekében annak megosztott könyvtáraiba másolja magát figyelemfelkeltő néven
– e-mailen elküldi magát az Outlook Address Bookból szerzett címekre
– megjelenít egy ablakot, melyben közli a felhasználóval, hogy számítógépe nem fertőzött a Bugbear vírussal