A Wowlook féreg elsősorban a World of Warcraft felhasználóit igyekszik megtéveszteni, és elektronikus levelek útján minél több számítógépet megfertőzni.
A Wowlook féreg a World of Warcraft állományához kapcsolódik, és e mögé rejtőzve próbálja elvégezni a kártékony műveleteit. A féreg összegyűjti a kiszemelt számítógépekről az e-mail címeket, majd azokra továbbküldi saját magát.
A Wowlook féreg legfőbb veszélye, hogy különböző felhasználói fiókokhoz, illetve szolgáltatásokhoz tartozó felhasználóneveket és jelszavakat gyűjt össze, amelyeket egy távoli szerverre továbbít. Ezt követően megfertőz minden olyan állományt, amelyek html kódokat tartalmaznak, és ezekhez egy kártékony weboldalra mutató hivatkozást fűz hozzá.
Amikor a Wowlook féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\SetupV9.exe
%System%\Srvpl0.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer\Run”1″ = “rundll32.exe Srvpl0.dll,start WinLogon.exe”
3. Felülírja a wow.exe állományt.
4. Felhasználóneveket és jelszavakat gyűjt össze egy %System%\KBOutLook.log nevű fájlba.
5. E-mail címeket gyűjt össze a Windows címjegyzékéből. A címeket egy KBOutLook.log nevű állományba menti el.
6. Az összegyűjtött e-mail címekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:
Hi,I just get some imformation of the Blizzard Entertainment,pls kindly check in the attachment.
That souds best for us.
Chinese test missile obliterates satellite!
A fertőzött levelek mellékletéhez tartozó fájl neve lehet: SetupV9.zip
7. Az Outlook Express alkalmazáshoz tartozó – regisztrációs adatbázisban szereplő – bejegyzéseket módosítja az alábbiak szerint:
“Safe Attachments” = “0”
“Warn on Mapi Send” = “0”
“Launch Inbox” = “0”
8. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\5.0\Mail
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\6.0\Mail
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\7.0\Mail
9. Egy hivatkozást fűz hozzá a helyi számítógépen található asp, htm, html, jsp és php kiterjesztésű állományokhoz.
10. Az összegyűjtött adatokat elküldi egy távoli szerverre. Az esetleges hibákat naplózza.