Описание
Win32.HLLM.LoveLorn - почтовый червь массовой рассылки. Написан на языке программирования Borland C++. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер червя 102,400 байт.
Распространение
Червь массово распространяется по всем адресам, найденным им в адресной книге Windows. Формирование почтовых сообщений, рассылаемых червем с пораженного компьютера, происходит при помощи его собственной реализации протокола SMTP.
В поле адреса отправителя червь подставляет адреса домена yahoo.com, например,
love_lorn@yahoo.com, thuyquyen@yahoo.com или lovelorn@yahoo.com.
Темы сообщений генерируемых червем вредоносных писем варьируются и могут быть
следующими:
Read this file Help... Re:baby!your friend send this file to you ! HELP??- Enjoy Read File attach . Re:Get Password mail... There\'re some Passwords here Re:Binladen_Sexy.jpg The Sexy story and 4 sexy picture of BINLADEN ! Souvenir for you from file attach... See the Greeting-card . Re:I Love You...OKE! A Greeting-card for you . Read file attach I like Sexy with you. Re:Kiss you.. Guide to fuck ... Play the game from file attach Help. Re:Baby! 2000USD,Win this game...Сопроводительные тексты к письмам могут быть следующими:
Read this file Help... Enjoy Read File attach . run File Attach to extract:BinladenSexy.jpg... Enjoy! BINLADEN:SEXY.. Souvenir for you from file attach... See the Greeting-card . I like Sexy with you. Play the game from file attachВложения ко всем типам писем, формируемым червем, имеют названия %%%.KISS.OK.EXE либо %%%.HTM, где %%% является переменной и может быть, например, lovelorn, love_lorn или thuyguyen.
Действия
После попадания на компьютер червь помещает в системную директорию Windows (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) несколько файлов:
\"explorer = \"%\\SYSTEM%\\explorer.exe\"
в реестровую запись
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run