Это подделка "From:" поле в зараженные электронные письма. Червь длиной 106496 байт. Будучи переехала машина, червь копирует себя в папку% WINDIR% (% WINDIR% является системная переменная, содержащая имя папки Windows. Обычно C: \ WINDOWS или C: \ WinNT.) Как со случайным именем файла. Она создает файлы с именем germs0.dbv, swen1.dat и%% COMPUTERNAME. Bat (% имя_компьютера% является система переменная, содержащая имя компьютера.) В папке% WINDIR%. Она ищет ряд противовирусных и личных программах брандмауэр на зараженном компьютере и пытается остановить найдено программ. Это изменения в реестр базы данных:
* Создается случайным именем пункта в раздел реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, со значением, ссылаясь на червя файла в папке% WINDIR%. Этот пункт гарантирует, червь начал с Windows.
* Он устанавливает значение пункта DisableRegistryTools в HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ключ к "1". Таким образом, реестр Windows редактирование базы данных отключено.
* "По умолчанию" пункт в разделе реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ ключевым подразделы
o batfile \ Shell \ Open \ Command
o comfile \ Shell \ Open \ Command
o exefile \ Shell \ Open \ Command
o piffile \ Shell \ Open \ Command
o regfile \ Shell \ Open \ Command
o scrfile \ Shell \ Open \ Command
модифицирован так, что перед запуском любой файл с BAT, COM, EXE, PIF, SCR р-либо расширения червя всегда переехала машина.
* Создается случайным именем в разделе реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \. В разделе эти пункты всегда создаются:
o CacheBox Экипировка = "YES"
o Установленная ="... по Бегби "
o Установить Item = этот пункт из раздела реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run Key
o Изымать = случайным именем файла, содержащего ссылки на% имя_компьютера%. BAT файла
Эти предметы могут существовать:
o Адрес электронной почты = пользователем адрес электронной почты, полученные из базы данных реестра
o Mirc Установить папка = папка, в которой система MIRC проживающий
o Server = Сервер SMTP IP адрес, полученный из реестра баз данных
o ZipName
* Это система Kazaa P2P установлен, червь добавляет пункты
o Dir99 = 012345: "Kazaa общей папке имя"
o DisableSharing = "0"
в разделе HKEY_CURRENT_USER \ Software \ Kazaa \ LocalContent.
Запуск червь проверяет, если переехала машина редактора реестра баз данных. Если да, то червь выводит сообщение об ошибке и отключает редактор. Периодическое, отображается окно "MAPI32 Exception Error". Окно ввода требует параметров почты - SMTP и POP3 адрес сервера, имя учетной записи и пароль, пользователь ник. Это MAPI32 Exception Error окно:
MAPI32 Exception Error
Червь рассылает себя по адресам, обнаруженным почты на зараженном компьютере. Параметры сообщения ( "От:", "Тема", тело письма, вложение имя) являются переменными. Червь масках себя исправление для системы безопасности от Microsoft или невозможности доставки сообщения вернулся. Только размер вложения всегда одинаковы. Червь может использовать специально созданный создает заголовок MIME, что на MS Outlook Express версии с MS01-020 ошибка позволить это переехала машина автоматически, когда прочитал сообщение.
Червь копирует себя в папках автозапуска на общих дисков. Червь ищет папку с IRC клиент на зараженном компьютере и преобразует этот файл script.ini таким образом, клиент IRC посылает копию червя для пользователей в том же самом канале IRC.
Если в системе Kazaa установлена на зараженном компьютере, червь создает случайным именем в папке% TEMP% (% TEMP% является системная переменная, содержащая имя временной папки для хранения файлов) папки и создает там несколько своих копий с разными именами. Он разделяет эту папку.
Удаление:
Чтобы удалить этот вирус Пожалуйста, воспользуйтесь бесплатно Avast! Virus Cleaner.
Avast! с VPS файла от года или после 18 сентября 2003 года в состоянии обнаружить этот червь.
| Дизайн разработан