A Holcas féreg elektronikus levelek mellett IRC-n keresztül is meglehetősen gyors terjedésre képes.
A W32.Holcas.A@mm féreg MAPI technikákat használ fel annak érdekében, hogy a Microsoft Outlook címjegyzékéből összegyűjtött címekre továbbküldje magát. A féreg IRC-n keresztül is terjed. A Holcas.A egyik ismertető jele lehet, hogy elrejti a Windows Tálcáját.
Amikor a W32.Holcas.A@mm féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\remotehost.pif
%Windir%\Autoexec.com
C:\Contrasenas.exe
C:\Start.exe
C:\Windows\Que_entretenido.exe
C:\Windows\runtime32.exe
C:\autoexec.pif
C:\agente.vbs
C:\DemonViriViene.txt (a non-malicious text file)
C:\script.ini
2. Megpróbálja magát az összes elérhető meghajtóra felmásolni.
3. Folyamatosan megpróbálja magát felmásolni floppy lemezre. soccer.exe néven.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"Sistray32" = "%System%\remotehost.pif" értéket.
5. Windows 9x operációs rendszerek esetében a win.ini fájlhoz hozzáadja a következő sort:
run=%Windir%\Autoexec.com
6. Az autoexec.bat fájlhoz hozzáadja az alábbi sort:
@C:\autoexec.pif
7. Windows NT/2000/XP operációs rendszerek esetében a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja a
"run" = "%Windir%\Autoexec.com" értéket.
8. A C:\agente.vbs állomány segítségével továbbküldi magát a Microsoft Outlook címjegyzékében szereplő email címekre.
A fertőzött levelek tárgya:
hola como estas, ;o)
A fertőzött levelek üzenete:
Con Carino:
A fertőzött levelekhez tartozó melléklet:
Que_entretenido.exe
9. IRC-n megpróbálja magát továbbküldeni Contrasenas.exe néven.
10. A féreg elrejti a Windows Tálcáját, és a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
kulcsában szereplő
"Start Page"="http:/ /viricototal.tk" értéket megváltoztatja.
11. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\ViricoTotalTeam
kulcsához hozzáadja a
"Pseudoroot" = "Mujpider" értéket.
Forrás : Biztonságportál