Он способен распространяться по электронной почте и сетевым ресурсам. При запуске, червь создает себя в папке% WINDOWS% под названием winppr32.exe и добавляет следующие ключи в реестре:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ TrayX =% WINDOWS% \ winppr32.exe / синк
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ TrayX =% WINDOWS% \ winppr32.exe / синк
Примечание: % WINDOWS% это папка, где установлена система Windows. Она обычно C: \ Windows на Windows 95, 98, ME или XP, или C: \ WinNT на Windows NT или 2000. Эти имена папок по умолчанию, но пользователь может решать за любое другое имя в системе установки Windows.
Червь распространяется по двум каналам - электронной почты и общих папок. Он содержит собственный движок SMTP для электронной почты распространения.
Зараженные письма имеют один из "Тема:" областях:
Re: Approved
Re: Мои данные
Re: этот фильм
Re: Wicked заставку
Re: Ваше заявление
Re: Подробности
Ваши данные
Спасибо!
В теле письма находится один из двух предложений:
См. прикрепленный файл Подробнее
Пожалуйста, см. прикрепленный файл Подробнее
Приложение может иметь на эти имена:
application.pif
details.pif
document_9446.pif
document_all.pif
movie0045.pif
thank_you.pif
your_details.pif
your_document.pif
wicked_scr.scr
Червь подделывает "From:" адреса - это может быть что угодно. "От:" Адрес видимые в зараженной почты обычно не имеет никакой связи с зараженного источника почты. Червь ищет почты для распространения в файлах с расширениями DBX, EML, HTM, HTML, TXT и WAB.
Червь ищет папки
\ Documents и Settings \ All Users \ Главное меню \ Программы \ Автозагрузка
\ WINDOWS \ All Users \ Главное меню \ Программы \ Автозагрузка
о сетевых ресурсах и пытается копировать себя с ними.
Удаление:
Чтобы удалить этот вирус Пожалуйста, воспользуйтесь бесплатно Avast! Virus Cleaner.
Avast! с VPS файла от года или После 19 августа 2003 в состоянии обнаружить этот червь.
| Дизайн разработан