Harry Potter egy féreg
Emellett persze a legnépszerűbb fantasy történet főszereplője is.
A Hairy.A nevű féreg a népszerű hőst használja fel terjedésének megkönnyítésére. A féreg töménytelen módosítást végez a Windows regisztrációs adatbázisában és letiltja a feladatkezelőt, valamint a regisztrációs adatbázis kezelőjét is.
A biztonságportál.hu leírása szerint a következő műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%SystemDrive%\Documents and Settings\All Users\Desktop\HarryPotter-TheDeathlyHallows.exe
%Windir%\Cache\HarryPotter-TheDeathlyHallows.exe
%Windir%\Tempt\talk.bat
%SystemDrive%\harry potter.txt
%SystemDrive%\HarryPotter-TheDeathlyHallows.doc
2. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”talk” = “C:\WINDOWS\Tempt\talk.bat”
3. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Window Title” = “JK Rowling Owns You”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoViewContextMenu” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoShellSearchButton” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoRun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”HideClock” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoTrayContextMenu” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoTrayItemsDisplay” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”NoViewContextMenu” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\Advanced\Folder\Hidden\SHOWALL”CheckedVal ue” = “0”
4. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SYSTEM\Services\CurrentControlSet\S ervices\SharedAccess\Parameters\FirewallPolicy\StandardPro file”EnableFirewall” = “0”
HKEY_LOCAL_MACHINE\SYSTEM\Services\CurrentControlSet\S ervices\SharedAccess\Parameters\FirewallPolicy\StandardPro file”DoNotAllowExceptions” = “0”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore”DisableSR” = “1”
Ezek révén elérhetetlenné teszi a Windows Feladatkezelőjét, a rendszerhelyreállító funkciókat, a regisztrációs adatbázis szerkesztőjét valamint a Windows tűzfalát.
5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Start Page” = “[http://]www.amazon.com/Putter-Chamber-Cheesecakes-Timoth y-ODonnell/dp/1411606884/ref=pd_bbs_sr_2_s9_rk/104-50558[R EMOVED]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main”Start Page” = “[http://]www.amazon.com/Putter-Chamber-Cheesecakes-Timoth y-ODonnell/dp/1411606884/ref=pd_bbs_sr_2_s9_rk/104-50558[R EMOVED]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOwner” = “Harry Potter”
HKEY_LOCAL_MACHINE\SYSTEM\Services\CurrentControlSet\S ervices\sr”Start” = “4”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”ProductId” = “HARRY-POT-TERHATE-SYOU1”
6. Megnyitja a rendszermeghajtón található HarryPotter-TheDeathlyHallows.doc nevű állományt, amelyben a következő szöveg található:
Harry Potter is dead.
7. Megjelenít egy “read and repent” címsorral rendelkező üzenetablakot a következő szöveggel:
„the end is near
repent from your evil ways O Ye folks
lest you burn in hell…JK Rowling especially”
8. Minden helyi és cserélhető meghajtóra felmásolja a következő állományokat:
[meghajtó betűjele]:\HarryPotter-TheDeathlyHallows.exe
[meghajtó betűjele]:\autorun.inf
9. Kitörli az ütemezett feladatokat, és a saját feladatait teszi be azok helyett.
10. Létrehozza a következő felhasználói fiókokat:
Harry-Potter
Ron-Weasley
Hermione-Granger
Mindegyik új felhasználói fiókot egy “1254”jelszóval lát el.
11. A féreg újraindítja a számítógépet.