W32.HLLW.Gemel – rendszerfile-okat törlő féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. február 2.
Védekezés elkészültének ideje: 2003. február 4.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli a következő rendszerfile-okat:
C:/Windows/Regedit.exe
C:/Windows/System/Msconfig.exe
C:/Command.com
– létrehoz egy 652 byte-os text állományt, amit aztán meg is nyit Notepaddel; az állomány neve valamelyik a következőből: Torres_Gemelas.txt, World_Trade_Center.txt
– létrehozza a C:/Windows/Guindows foldert és bemásolja oda magát vagy Gedzac.exe vagy Zacker.exe néven
– az alábbi értékek közül egyet hozzáad a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz:
GEDZAC C:/Windows/Guindows/GEDZAC.exe
Zacker C:/Windows/Guindows/Zacker.exe
– módosít két adatértéket:
RegisteredOwner Kuasanagui
RegisteredOrganization GEDZAC vagy RegisteredOrganization Zacker
a következő Registry kulcsokban:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Winnt/CurrentVersion
– a GEDZAC vagy a Zacker értéket hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion Registry kulcshoz
– felmásolja magát különböző, figyelemfelkeltő neveken az alábbi könyvtárakba (ha azok léteznek):
C:/Program Files/Grokster/My Grokster
C:/Program Files/Morpheus/My Shared Folder
C:/Program Files/ICQ/shared files
C:/Program Files/KaZaA/My Shared Folder
C:/Archiv~1/Grokster/My Grokster
C:/Archiv~1/Morpheus/My Shared Folder
C:/Archiv~1/ICQ/shared files
C:/Archiv~1/KaZaA/My Shared Folder
– periódikusan megpróbálkozik felmásolni magát az A meghajtóra Atentados Terrorista néven