2 stycznia 2002

I-Worm.Hallad - tworzy i usuwa pliki

Robak ten znany jest również jako W32.Zacker@mm oraz"W32/Maldal@MM". Rozprzestrzenia się poprzez Internet jako zainfekowany plik załączony do wiadomości e-mail. Szkodnik rozsyła się również poprzez kanały IRC i posiada dodatkowe procedury. Wirus ma postać pliku PE EXE o rozmiarze około 80 KB i został napisany w języku programowania Visual Basic 6.

Zainfekowane wiadomości wyglądają następująco:

Temat: %Nazwa nadawcy% + " is a millionaire"

Załącznik: LucKey.exe

Treść:

" Hi" + %Nazwa odbiorcy% + "Your Friend " + %Nazwa nadawcy% + " invites you to be a millionaire" + %Nazwa odbiorcy% + "and says : " + % Nazwa odbiorcy % + "Wow..its really cool Test your lock ;)" + % Nazwa odbiorcy % + " just keep this advertisements pro run and you will get 0.25 $ every 30 minutes" + % Nazwa odbiorcy % + " + " Wo-finance Team"

Robak uaktywnia się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się z nazwami LUCKEY.EXE oraz DALLAH.EXE do katalogu systemowego Windows. Następnie wyświetla okno zawierające komunikat:

Run time error '71'
Object required

Rozprzestrzenianie poprzez e-mail

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje program MS Outlook i rozsyła "korespondencję" do wszystkich użytkowników zapisanej w książce adresowej.

Rozprzestrzenianie poprzez kanały IRC

Robak skanuje dysk komputera w poszukiwaniu pliku MIRC.INI i nadpisuje znaleziony zbiór skryptem, który wysyła zainfekowany plik EXE do wszystkich użytkowników przyłączających się do zainfekowanego kanału.

Funkcje dodatkowe

Robak tworzy w bieżącym katalogu wiele plików posiadających nazwy:

Sharoon ****.exe
Bush ****.exe
ZA-Union ****.exe
BinLadin ****.exe

gdzie ***** jest liczbą od 1 do 9999.

Ponadto wirus próbuje usuwać następujące foldery z dysku, na którym zainstalowany jest system Windows:

\Program Files\AntiViral Toolkit Pro
\Program Files\Command Software\F-PROT95
\eSafe\Protect
\PC-Cillin 95
\PC-Cillin 97
\Program Files\Quick Heal
\Program Files\FWIN32
\Program Files\FindVirus
\Toolkit\FindVirus
\f-macro
\Program Files\McAfee\VirusScan95
\Program Files\Norton AntiVirus
\TBAVW95
\VS95
\rescue
\Program Files\Zone Labs

Robak tworzy i uruchamia skrypt FLOPY.VBS. Kopiuje on plik wirusa na dyskietkę z nazwą MALAL.EXE. Ponadto skrypt wirusa dodaje do nazw wszystkich plików zapisanych na dyskietce rozszerzenie EXE.