A Hary féreg J.K. Rowling könyveinek népszerűségét igyekszik felhasználni ahhoz, hogy a Harry Potter és a Halál ereklyéi című művet állítólagosan tartalmazó, fertőzött állományával minél több PC-t tudjon megfertőzni.

A Hary féreg készítői egy nagyon megtévesztő trükköt vetettek be annak érdekében, hogy a kártékony programjukat minél szélesebb körben tudják terjeszteni. A féreg ezáltal elsősorban a Harry Potter rajongók körében okozhat károkat és bosszúságot.

A Microsoft szerint a Hary féreg meglehetősen sok módosítást végez az által megfertőzött számítógépeken, és mind a fájlrendszert, mind a regisztrációs adatbázist manipulálja. Eközben pedig figyel arra, hogy cserélhető meghajtókon, többek között pendrive-okon keresztül további rendszerekre tudjon felkerülni. A kártékony program egy HarryPotter-TheDeathlyHallows.doc és egy HarryPotter-TheDeathlyHallows.exe nevű fájl révén terjed.

Az Isidor Biztonsági Központ közleménye alapján elmondható, hogy a Hary féreg alapjaiban véve nem igazán rejtőzködik, hiszen több látványosabb műveletet is végrehajt. Így például megváltoztatja az Internet Explorer kezdőoldalának címét, három új felhasználói fiókot hoz létre, majd újraindítja a számítógépet.

A féreg további érdekessége, hogy a Windows összes ütemezett feladatát kitörli, majd egy olyan feladatot hoz létre, amely biztosítja, hogy a saját állománya minden nap többször betöltődjön.

A Hary első variánsa a rendszereken nem végez rombolást, és adatok kiszivárogtatásából sem veszi ki a részét, inkább a terjedésére koncentrál. Ugyanakkor könnyen elképzelhető a jövőben esetlegesen megjelenő variánsainak esetében a vírusírók már nem elégednek majd meg ennyivel.

Amikor a Hary.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
C:/HarryPotter-TheDeathlyHallows.doc

2. Elindítja a Word alkalmazást (winword.exe), amennyiben az megtalálható az adott számítógépen, majd betölti a HarryPotter-TheDeathlyHallows.doc állományt.

3. Létrehozza az alábbi könyvtárat:
C:/Windows/Cache/

4. A C:/Windows/Cache/ mappába bemásol egy HarryPotter-TheDeathlyHallows.exe fájlt.

5. Minden ütemezett feladatot eltávolít a rendszerből.

6. Létrehoz egy új ütemezett feladatot, amely naponta többször elindítja a HarryPotter-TheDeathlyHallows.exe fájlt.

7. Létrehoz egy C:/harry potter.txt nevű állományt.

8. Felmásolja a következő állományt, amelyet rendszer, rejtett és csak olvasható attribútumokkal lát el:
C:/Windows/Tempt/talk.bat

9. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/talk="C:/Windows/Tempt/talk.bat"

10. A cserélhető adattárolók gyökérkönyvtárába létrehozza a következő állományokat:
HarryPotter-TheDeathlyHallows.exe
autorun.inf

11. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/ProductID="HARRY-POT-TERHATE-SYOU1"
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/JK Rowling Owns You="Window Title"

12. Manipulálja a regisztrációs adatbázis következő kulcsaiban szereplő értékeket:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ Explorer/Advanced/Folder/Hidden/SHOWALL
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SystemRestore
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/sr
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile

13. Új felhasználói fiókokat hoz létre az alábbi nevekkel:
Harry-Potter
Ron-Weasley
Hermione-Granger

14. Újraindítja a számítógépet.