W32.HLLW.Cydog@mm – állományokat letörlő, bonyolult működésű féreg

A fertőzött e-mail paraméterei

Tárgy: a következőkből választ egyet:
EA and EIDOS Presents…
PacketStorm:WINDOWS Xp has several exploits
A Virtual joke…the funniest around!
A kiss from me to you…
Csatolmány: a következőkből választ egyet:
CyberWolf-Patch.exe
Windows Xp Exploit.exe
The CyberWolf-Joke.scr
My Kiss for you.scr
Tartalom: több, előre definiált szövegből választ egyet

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 26.
Utolsó frissítés ideje: 2003. február 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 34.816 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– a Registry-ből meghatározza, hol van a Kazaa megosztott könyvtárának [DownloadDir] helye
– ezen a könyvtáron belül létrehozza a Windows Security Haches mappát
– rak egy, az újonnan létrehozott folderre mutató bejegyzést:
Dir0 012345:[DownloadDir]/Windows Security Haches
DisableSharing 0
a HKEY_CURRENT_USER/Software/Kazaa/LocalContent Registry kulcsba
– számos helyen (System könyvtár, Windows Security Haches mappa, file-megosztó programok folderei) létrehozza másolatait különböző, figyelemfelkeltő neveken
– létrehozza a következő bejegyzéseket a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban:
CyberWolf CyberWolf.exe
Windows Systems Service [System elérési útvonala]/Kernell32.exe
Windows Kernell [System elérési útvonala]/Dllhost.exe
Dllhost [System elérési útvonala]/msiexec.exe
Windows Installer Service [System elérési útvonala]/CyberWolf.exe
– létrehozza a CyberWolf ˝You are Biten˝ bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/CyberWolf Registry kulcsban
– megkísérli letörölni a következő könyvtárakban levő összes állományt:
C:/Program Files/Common Files/Symantec Shared
C:/Program Files/Norton AntiVirus
– megkísérli letörölni az összes .exe, .dll, .ocx, és .ini file-t
– megkísérli leállítani a következő processeket, ha éppen futnak a memóriában:
_Avp32.exe
Anti-trojan.exe
Aupdate.exe
Avp.exe
Avpcc.exe
Avpmon.exe
Blackice.exe
Bootwarn.exe
Ccapp.exe
Ccshtdwn.exe
Cfind.exe
Esafe.exe
Findviru.exe
Kpf.exe
Kpfw32.exe
Luall.exe
Navapw32.exe
Nmain.exe
Nupdate.exe
Qconsole.exe
Regedit.exe
Scan32.exe
Taskmgr.exe
Webscan.exe
Zapro.exe
– megjeleníti az alábbi üzenetet:
Fatal error in Windows Kernell

Please allow a 10 MINUTES acces for windows to send an error report to microsoft in hope they solve this error This operation could take a few moments but it will help microsoft to make an Windows Update If a dialog is prompted from MS Outlook then please click the yes button to allow Windows to send the e-mail!
– Outlook segítségével a fent ismertetett formátumban továbbítja magát az Address Book összes kontaktja számára
– létrehozza a CyberWolf ˝They are emailed˝ bejegyzést a HKEY_CURRENT_USER/Software/Mail-The-Bastards Registry kulcsban
– megkísérel megváltoztatni pár egérmutató és billentyűzet-kurzor paramétert (például a villogás sebességét, a leütött billentyűk késleltetési idejét stb.)
– megváltoztatja a rendszerparaméterek némelyikét
– az Internet Explorer kezdőlapját a http://CyberWolf-has-bitten-you.com URL-re változtatja
– létrehozhat egy szövegfile-t, amit az alapértelmezett printeren meg is próbál kinyomtatni
– saját másolatainak elindításával jelentős erőforrásokat köt le