После выполнения зараженного вложения червь копирует себя в Windows при запуске и системную директорию под произвольным именем. Она падает кейлоггер в системном каталоге также под произвольным именем. Тогда он пытается копировать себя в удаленной машины с открытым общих дисков по локальной сети. Он содержит список разрешенных имен файлов, которые он пытается заразить удаленно. Кроме того, он пытается копировать себя в папку автозагрузки. Она также открывает порт 1080 и ожидает команд извне.
Следующий ключ реестра создан:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "XXX" = "****. EXE "
Червь также содержит длинный список антивирусов и межсетевых экранов, он пытается убить каждые 20 секунд.
Затем червь ищет адреса электронной почты в текущем ящике и в файлы на локальный диск со следующими расширениями: ODS, MMF, НЧ, MBX, EML, TBB и DBX. Он использует свой собственный SMTP обычной отправить почту через сервер SMTP содержится в следующем разделе реестра:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Account Manager \ Accounts
Он falses ОТ и REPLYTO полях аналогично тому, как Win32: Klez-H, так что нет очевидного способа, как найти реальную отправителю с зараженного компьютера.
Удаление:
Чтобы удалить этот вирус Пожалуйста, воспользуйтесь бесплатно Avast! Virus Cleaner.
Avast! с VPS (обновление базы данных) файла от года или после 5 июня 2003 года, в состоянии обнаружить этот червь.
| Дизайн разработан