W32.HLLW.GOP.G@mm – hálózati megosztásokon (is) terjedő féregvírus

A féreg tulajdonságai

Felfedezésének ideje: 2003. január 17.
Utolsó frissítés ideje: 2003. január 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 44.033 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba WindowsAgent.exe néven
– létrehozza a Drocerrbk.sys file-t, ami ellopott jelszavak tárolására szolgál
– hozzáadja a WindowsAgent [System elérési útvonala]/WindowsAgent.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– HTM és HTML állományok után keres, majd az ezekből megszerzett e-mailcímekre továbbítja magát saját SMTP motorja révén
– e-maileket küld szét, melyek tárgya és tartalma kínai nyelvű szöveg; a levél csatolmányai a következők lehetnek: .bmp, .rtf, .doc, .txt, .gif, .jpeg, .jpg (ezeket a fertőzött számítógépről küldi tovább)
– az eredeti file-névhez hozzáad egy második kiterjesztést, amely vagy EXE vagy LNK lehet
– az IFRAME biztonsági hibát kihasználja a féreg, melynek révén az Outlook automatikusan futtatja a csatolmányt; az erre való javítás letölthető a Microsoft website-járól
– hálózati meghajtók után keres, majd felmásolja magát rájuk (ha talált olyat, melyen van operációs rendszer) a Recycled könyvtárba Notdelw.i.n.v.e.r.y.i.f.y.exe néven
– a Win.ini állomány módosításával eléri, hogy az így felmásolt állomány automatikusan betöltődjön rendszerinduláskor