Червь создает следующие файлы на зараженном компьютере:
%% WINDOWS \ scandisk.exe
% WINDOWS% \ [8 случайных символов-Z]. EXE
%% WINDOWS \ tmpworm.exe
В реестре, червь создает внутри Key
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run следующий пункт:
ScanDisk =% WINDOWS% \ scandisk.exe
Червь запускается из реестра на каждом компьютере "Пуск". Кроме этого, он может быть запущен из измененных исполняемых файлов, она добавляет код для launchig сам из файлов в папке% WINDOWS% к исполняемым файлам. Изменение размера файлов увеличилась в 567 байт.
Примечание: % WINDOWS% это папка, где установлена система Windows. Это обычно "C: \ Windows" в Windows 95, 98 или ME, или "C: \ WinNT" на Windows NT, 2000 или XP. Эти имена папок по умолчанию, но пользователь может решать за любое другое имя на монтажные системой Windows.
Червь пытается приостановить работающие сервисы с именем:
F-Secure, брандмауэр, Kaspersky, McAfee, Нортон, PC-cillin, Sophos, Symantec, Trend Micro, вирус
Червь распространяется через электронную почту по адресам он основывает в адресную книгу Windows или в файлы с расширением. DBX,. EML или. Расширениями HTM. Зараженные письма либо английский или шведский, в зависимости от языковой системы инфицированного компьютера. Зараженные почта имеет следующие особенности: Заглавие либо пуст, либо одна из следующих фраз (на английском языке):
Catlover
Отвратительная пропаганда
DISKRIMINERAD!!
GO США!!
Вес брутто Буш анимация
Является США НЛО?
Является США всегда номер один?
LINUX
Нацистская пропаганда?
Скринсейвер советы
Шпион фото
, Вложенный в размере 45056 байт со случайными 2 буквы имени и SCR расширением.
Червь подделок адрес отправителя. Оно выбирает тело сообщения случайным образом из 10 сообщений, либо английский и шведский.
Любой Avast! с VPS файла от года или После 17 марта 2003 в состоянии обнаружить этот червь.
| Дизайн разработан