Вредоносная программа — червь, способная распространяться по каналам электронной почты, а также путем самокопирования на съемные накопители и дисковые разделы. Предоставляет злоумышленникам удаленный доступ к ресурсам инфицированного компьютера.
Модифицирует ветвь системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
с целью обеспечения автоматического запуска, регистрируясь под именем Microsoft Windows Update, Microsoft Windows Manager или Microsoft Windows System, а также добавляет себя в список исключений брандмауэра Windows.
В папке текущего пользователя Windows создает субдиректорию с именем, состоящим из последовательности цифр, и сохраняет себя в эту папку под одним из следующих имен:
- winmgr.exe
- winraz.exe
- winsam.exe
- winsvc.exe
- winsvn.exe
- wincrs.exe
- winpdf.exe
При подключении к инфицированному компьютеру съемных носителей устанавливает для размещенных на них папок и файлов атрибуты «системный», «скрытый» и «только для чтения», создает собственную копию в скрытой папке и размещает на съемном носителе ярлыки, имена которых соответствуют именам имеющихся в данном разделе файловых объектов. В корневой директории съемного носителя создает файл автозапуска autorun.inf.
Win32.HLLW.Phorpiex.54 способен рассылать собственные копии по электронной почте, используя адреса из адресной книги почтового клиента.
Вредоносный функционал: червь способен выполнять различные команды злоумышленников, передаваемые с использованием протокола IRC (Internet Relay Chat).
