25 sierpnia 2001

Win32.HLLP.Imel - rozprzestrzenia się przy użyciu dyskietek

Jest to wirus infekujący pliki PE EXE (aplikacje systemów Win32) i rozprzestrzeniający się poprzez dyskietki. Szkodnik ma postać aplikacji Win32 napisanej w języku programowania VisualBasic.

Szkodnik wyszukuje pliki EXE w bieżącym katalogu i dopisuje się do ich początków. Następnie kopiuje się do dwóch plików:

C:\Game32.exe
C:\WINDOWS\Game32.exe

Drugi plik jest umieszczany w kluczu auto-run rejestru systemowego:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run Imelda = c:\WINDOWS\GAME32.exe

W celu rozprzestrzenienia się robak umieszcza na dyskietce znajdującej się w napędzie A: swoją kopię o nazwie imel.exe oraz dodatkowy plik A:\autoexec.bat zawierający komendę umieszczającą kopię wirusa w katalogach: auto-run systemu Windows oraz c:\windows\startm~1\programs\startup\Game32.exe"

Następnie robak wyświetla na środku ekranu tekst "Win32.IMELDA.A".

18 oraz 12 dnia każdego miesiąca robak tworzy na Pulpicie odnośnik do strony WWW oraz do adresu poczty elektronicznej:

http://www.indovirus.8m.net
mailto:iwing@iwing-homebase.org

po czym wyświetla poniższy komunikat:

Win32.Imelda.A
Hi... There, this is my Day to go Around the world
Just click OK and well do the rest.... :)

Visit me at http://www.indovirus.8m.net or
http://www.geocities.com/indohacker2001,
for serum - Mailto:iwing@iwing-homebase.org