Зараженные письма имеют следующие характеристики:
Заглавие: Re [2]: наши частные фотографии [случайные письма]
Текст:
Здравствуйте Уважаемые!
Наконец я нашел возможности права U, моя милая девушка:)
Все фотографии, которые я сделал на пляже (даже когда u're без ур BH:))
Фотографии Great! Сегодня вечером я приеду и мы сделаем лучший секс:)
Сейчас пользуются фотографии.
Kiss, Джеймс.
Вложенный файл: photos.zip
Photos.zip представляет собой архив ZIP, который содержит файл с именем исполняемого photos.jpg.exe. Таким образом, пользователь должен распаковать его, прежде чем он сможет запустить вирус.
Червь рассылает себя по всем addresess найти на жестком диске зараженного компьютера. Он сохраняет все письма найден в файле под названием eml.tmp в папке Windows. Для того, чтобы запускаться автоматически при запуске Windows Te червь сохраняет в файл netwatch.exe в папке Windows и добавляет следующую запись реестра:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ NetWatch32
Этот червь использует ложный адрес электронной почты в поле "От" направил письма - он использует адрес Джеймс @ [recipient_domain].
Червь пытается выполнить DoS (отказ в обслуживании) атаки на следующие сайты:
darkprofits.com
darkprofits.net
www.darkprofits.com
www.darkprofits.net
Червь крадет информацию с конкретными приложениями Windows и пытается отправить его на несколько адресов электронной почты, которые хранятся в зашифрованном виде в теле червя.
Удаление:
Чтобы удалить этот вирус Пожалуйста, воспользуйтесь бесплатно Avast! Virus Cleaner.
Avast! с VPS файла от года или после 31 октября 2003 в состоянии обнаружить этот червь.
| Дизайн разработан