Описание
Win32.HLLM.Generic.276 [aka Wullik] - почтовый червь массовой рассылки. Написан на MS Visual Basic. Размер исполняемого модуля червя 49 152 байта.
Распространение
Червь предпринимает попытки распространяться по электронной почте через MS Outlook. Отправка писем осуществляется по всем адресам, обнаруженным им в локальной адресной книге Windows. Почтовое сообщение, инфицированное Win32.HLLM.Generic.276, обладает следующими характеристиками:
Тема и текст сообщения составлены на китайском языке.
Вложение: MShelp.EXE
Действия
Будучи активированным, червь создает в директории Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) свою копию Mstray.exe и вносит изменения в следующую реестровую запись:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"RavTime" = %WinDir%\Mstray.exe
, что обеспечивает его запуск при каждом начале работы пользователя в Windows.
Такое же значение червь присваивает ключу реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup
В пораженной системе червь производит следующие действия:
- Копирует себя в виде файла winfile.exe на гибкий диск А.
-
Блокирует возможность просмотра скрытых и системных файлов, внося изменения в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
Hidden=0 -
Демонстрирует ложное сообщение следующего содержания:
Заголовок: Warning!
Текст: This File Has Been Damage! - Если пользователь через Explorer открывает окно, в названии которого содержится местонахождение червя, он копирует себя в другое место в виде файла со случайным названием, после чего удаляет свою копию из прежнего места.
