Bei Hadra handelt es sich um einen Wurm, der sich als EXE-Datei in einem E-Mail-Anhang (Attachment) ausbreitet.
Der Wurm selbst ist ein ausführbares Win32-Programm, ungefähr 12 KB groß und in Visual-Basic geschrieben. Der Code des Wurm ist gepackt mit dem Pack-Utility UPX Win32 als direkt ausführbares EXE-File und wird ungepackt ca. 26KB groß.

Wenn der Wurm ausgeführt wird (durch anklicken des Attachments der E-Mail), kopiert er sich in das Windows-Verzeichnis als Datei "MSSERV.EXE" und registriert diese Datei in den Schlüsseln für folgende Autostart Registry-Einträge:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Alle diese "Run="-Schlüssel bekommen einen String-Wert, der bei jedem Windowsstart eine Kopie des Wurms aufruft:

msservice = %WinDir%\msserv.exe

wobei %WinDir% das Windows-Hauptverzeichnis bezeichnet.

Ausbreitung des Wurms

Der Wurm wirkt als verborgene Anwendung (Service) im Windows-Speicher, klinckt sich in das MS Outlook-System und überwacht die MS Outlook Events (Ereignisse) "NewMail" (Neue Nachricht-Ereignis) und "ItemSend" (Nachricht verschicken) (z.B. hängt sich der Wurm an MS Outlook Events selbst).

Beim Einreten des Events "NewMail" (eine neue Nachricht ist eingetroffen) untersucht der Wurm, ob er selbst in dieser neuen Nachricht von einem anderen infizierten Rechner versandt wurde und löscht dann diese Nachricht. Der Wurm öffnet diese Nachricht, sucht nach EXE-Anhängen und löscht diese Nachricht, falls der EXE-Anhang die gleiche Länge wie die EXE-Datei des Wurms hat.

Beim Eintreten des Events "ItemSend" (eine Nachricht wird verschickt), sucht der Wurm nach E-Mails mit Anhängen (Attachments), und ersetzt den ersten gefundenen Anhang durch sich selbst. Dabei benennnt er die Anhang-Endung in .EXE um und sendet sich anschließend. Sollte er in der Mail keinen Anhang vorfinden, so erstellt er sich selbst in einen Anhang mit einem Namen aus 8 beliebigen Zeichen und der Endung. EXE.

An einem Freitag, den 13. zwischen 13:00 und 14:00 Uhr fügt der Wurm am Anfang der Text-Nachricht folgende Meldung ein:

[I-Worm.Hydra] ...by gl_st0rm of [mions]

Selbstschutz der Wurms vor Entdeckung und Beseitigung

Der Wurm führt verschiedene Maßnahmen durch, um sich zu verbergen und um zu verhindern, dass seine Datei und seine "Run="-Schlüssel in der Registry entfernt werden.
Der Wurm löscht die Datei MSCONFIG.EXE im Windows-System-Verzeichnis und sucht nach laufenden (aktiven) Anwendungen und beendet vorhandene Prozesse dieser Anwendungen:

"AVP Monitor" "AntiVir" "Vshwin" "F-STOPW" "F-Secure" "vettray" "InoculateIT" "Norman Virus Control" "navpw32" "Norton AntiVirus" "Iomon98" "AVG" "NOD32" "Dr.Web" "Amon" "Trend PC-cillin" "File Monitor" "Registry Monitor" "Registry Editor" "Task Manager"

Dadurch schaltet der Wurm verschiedene Anti-Viren-Schutzprogramme aus und ebenso beendet er sofort den Registry-Editor, sobald er aufgerufen wird.

Der Wurm versucht außerdem die F-SECURE Anti-Virus und AVP Anti-Virus Daten zu löschen.

Mitglied bei SETI Distributed Network

Der Wurm installiert und aktiviert die SETI-Software (Search for Extraterrestrial Intelligence = Suche nach ausserirdischer Intelligenz) auf infizierten Computern
(mehr Informationen zum SETI-Projekt bei http://setiathome.berkeley.edu ).

Die SETI Software wird als MSSETI.EXE in das Windows-Verzeichnis abgelegt und von folgenden FTP-Servern durch den Wurm heruntergeladen:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

Ausserdem erstellt der Wurm im Windows-Verzeichnis die folgenden Dateien:

USER_INFO.SAH und VERSION.SAH mit SETI spezifischen Informationen MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT, um das SETI Programm zu starten,

und er registriert die Datei RUN_MSSETI.VBS in der Registry als auto-run Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run msseti = WScript.exe %WinDir%\run_msseti.vbs"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices msseti = WScript.exe %WinDir%\run_msseti.vbs"

Die Datei USER_INFO.SAH beinhaltet Benutzerspezifische Informationen über einen SETI Teilnehmer.
Auf der SETI-Seite erhält man am 13.6.2001 diese Information:

Folgende ID-Daten schreibt der Wurm in diese Datei:

id=2199938
key=1603033966
email_addr=gl_storm@seznam.cz
name=GL_STORM
country=Czech Republic

GL_STORM betreibt eine Webseite, auf der er zu I-Worm.Hydra schreibt:

10.6.2001: Die Leute bei Kaspersky sind sehr schnell! Drei Tage nach Hydra's Herausgabe haben sie eine sehr schöne Erklärung geschrieben! Ich kann nicht glauben, wie sie so richtig liegen konnten;) Wenn du magst, kannst du hier eine Beschreibung lesen, es ist eine gute Lektüre ;)))
Als nächstes: Hydra breitet sich aus...das ist OK, aber! nur 3 Seti Pakete sind eingetroffen! Warum? Sende sie an deine Freunde! ;)))
Wenn du einen Überblick haben möchtest, wieviele Pakete angekommen sind, dann sieh auf meine Statistik hier. [Statistikseite oben].
Eine Bitte, jeder der Hydra per E-MAIL (12249b) erhält, sende mir eine E-MAIl, ich möchte wissen, ob er sich ausbreiete oder nicht.

[Analyse Kaspersky Labs and F-Secure Corp.; Juni 2001; Übersetzung F-PROT in Deutschland]