A Himu.A féreg meglehetősen gyorsan képes terjedni, és számos kártékony műveletet végez el a fertőzött számítógépeken. Elsősorban a biztonsági szoftverek hatástalanítása a célja.
A Himu.A féreg leggyakrabban hálózati megosztásokon valamint elektronikus leveleken keresztül terjed. A féreg amint elindul egy számítógépen, akkor megjelenít egy üzenetablakot, és rögtön ezután számos fájlt hoz létre. Majd a regisztrációs adatbázis módosításával számos kellemetlenséget okoz, ugyanis a biztonsági szoftvereket igyekszik hatástalanítani. Több gyártó termékét is képes kikapcsolni, de különös figyelmet fordít a McAfee és a Norton AntiVirus szoftverekre valamint a Windows Biztonsági központjára. Ezt követően arról is gondoskodik, hogy a Windows hosts fájljának módosításával elérhetetlenné tegye a biztonsági cégek weboldalait a fertőzött rendszerekről.
A Himu.A az Internet Explorer Kedvencek menüjét néhány újabb hivatkozással bővíti ki. Ezt követően kezdi meg a terjedését a helyi hálózaton, illetve az elektronikus leveleken keresztül.
Amikor a Himu.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1 Megjelenít egy “Compressed (zipped) Folders Error” címsorral rendelkező üzenetablakot, amely a “The Compressed (zipped) Folder is invalid or corrupted” szöveget tartalmazza.
2. Létrehozza a következő állományokat
%UserProfile%\Start Menu\Programs\Startup\SERVIC3S.exe
%ProgramFiles%\WindowsUpdate\System Security\passwordlist.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\bangladesh.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\love.exe
%ProgramFiles%\WindowsUpdate\System Security\usernames.exe
D:\SystemVoliumeInfo\services.exe
D:\SystemVoliumeInfo\Mails\asdf45396ftADMIN.exe
D:\SystemVoliumeInfo\Mails\USERNAE485369KD5L.exe
D:\SystemVoliumeInfo\Mails\STATUSreport252.exe
D:\SystemVoliumeInfo\Mails\global_report.exe
D:\SystemVoliumeInfo\Mails\BBCandCNNreport.exe
3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”Microsoft Himu” = “D:\SystemVoliumeInfo\services.exe”
4. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
5. Új sorokat fűz hozzá a Windows hosts fájljához, amellyel a fertőzött számítógépekről elérhetetlenné teszi a biztonsági cégek weboldalait.
6. Módosítja a regisztrációs adatbázis következő bejegyzéseit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”RestrictRun” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”RestrictRun1″ = “msconfig.exe”
7. A regisztrációs adatbázisban létrehozza az alábbi kulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Razaker
8. Hatástalanítja a McAfee biztonsági szoftvereit.
9. Kikapcsolja a Windows Biztonsági központját a regisztrációs adatbázis módosításával:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”AntiVirusDisableNotify” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”AntiVirusOverride” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”FirewallDisableNotify” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”FirewallOverride” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”UpdatesDisableNotify” = “00000000”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa”l imitblankpassworduse” = “0x00000000”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ls a”limitblankpassworduse” = “0x00000000”
10. Kikapcsolja a Norton Anti-Virus Script Blocking funkciót.
11. Új bejegyzéseket vesz fel az Internet Explorer Kedvencek menüjébe.
12. Minden elérhető meghajtóra felmásolja az alábbi állományokat:
[meghajtó betűjele]:\New Compressed (zipped) Folder.exe
[meghajtó betűjele]:\kills.bat
[meghajtó betűjele:\format.bat
13. Másolatokat készít önmagából a következő fájlnevek felhasználásával:
Aupee Karim Pics.exe
download.exe
List of the musick.exe
LoveStory.exe
Lyrics Of Papercut.exe
MusicList.exe
readme2006.exe
window shopper.exe
14. A hálózaton megosztott mappákba bemásolja saját magát.
15. Létrehoz egy D:\SystemVoliumeInfo\\\ab.bat fájlt, amelynek révén „ping flood” támadásokat kezdeményez egy előre meghatározott weboldal ellen.
16. Különböző kiterjesztésű állományokban email címeket keres. Ezekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:
- Reminder to be aware of TERRORISM
- Don\\”t be another victim..!!
- RAPID ACTION BATALION
- HELP US FOR REMOVE THE TERRORISM
A fertőzött levelek mellékletéhez tartozó fájlok neve az alábbi listából kerül ki:
- asdf45396ftADMIN.exe
- USERNAE485369KD5L.exe
- STATUSreport252.exe
- global_report.exe
- BBCandCNNreport.exe.