27 czerwca 2001

Win32.HLLP.Clay - wieloelementowy pasożyt

Jest to pasożytniczy wirus Win32 o rozmiarze około 300 kB napisany w języku programowania C. Szkodnik infekuje wszystkie pliki EXE zapisane na dysku twardym. Wirus w żaden sposób nie ujawnia swojej obecności.

Wirus składa się z czterech części: ładującej, głównej, infekującej oraz z modułu backdoor. Każdy z tych komponentów jest samodzielnym plikiem uruchamialnym. Pierwszy element wirusa (moduł ładujący) dopisywany jest do początkowej części infekowanego pliku i przejmuje kontrolę w momencie uruchamiania tego pliku. Pozostałe komponenty wirusa umieszczane są w końcowej części atakowanego pliku

W momencie uruchomienia zainfekowanego pliku wirus uruchamia swoje moduły i umieszcza je w katalogu Windows pod postacią pliku o nazwie CDPLAY.EXE. Główny komponent robaka umieszczany jest w sekcji auto-run pliku WIN.INI:

[windows]
run=%WinDir%\cdplay.exe

gdzie %WinDir% jest nazwą katalogu systemu Windows.

Podczas kolejnego startu systemu Windows uruchamiany jest główny moduł wirusa (CDPLAY.EXE), który rozpakowuje z siebie dwa dodatkowe komponenty i umieszcza je w plikach o nazwach I.EXE oraz Z.EXE w katalogu systemu Windows.

W katalogu Windows pojawiają zatem się trzy nowe pliki:

  • główny moduł wirusa - CDPLAY.EXE
  • moduł infekujący - I.EXE
  • moduł backdoor - Z.EXE