Этот червь распространяется по электронной почте и сетевым ресурсам. Он убивает процессы Разное антивирусными программами и безопасности и удаляет файлы из них. Червь является деструктивным, пытается удалить файлы определенного типа каждый 3-й день месяца.
При запуске, червь создает одну из перечисленных файлов:
* % Windows% \ Rundll16.exe
* % System% \ New WinZip file.exe
* % System% \ sample.zip
* % System% \ winzip_tmp.exe
и файлы:
* % System% \ scanregw.exe
* % System% \ update.exe
* % System% \ sample.zip
* % System% \ Winzip.exe
Червь autostarted с окнами с помощью ключа реестра
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Его пункт "ScanRegistry" имеет значение "% System% \ Scanregw.exe / Scan"
Червь собирает почту с документами на зараженном компьютере. Инфицированы почты одной из тем:
* Hot Movie *
Great Video
Арабские секс DSC-00465.jpg
eBook.pdf
Fuckin фото Кама Сутра
Fw:
Fw: DSC-00465.jpg
Fw: Funny:)
Fw: Picturs
Fw: Sexy
Fwd: image.jpg
Re: Фото
Поцелуй меня
Мисс Ливан 2006
Мои фотографии
Часть 1 из 6 видео клип
Re:
Re: Sex Video
Школа фантазии Girl Gone Bad
Видеоклип Best Ever
Файл
Word File
Вы должны рассматривать этот видеоклип!
Зараженное вложение в файле с именем
007.pif
04.pif
677.pif
document.pif
DSC-00465.Pif
eBook.PIF
image04.pif
New_Document_file.pif
photo.pif
School.pif
Иногда, вложение закодированный MIME и использует одно из имен
3.92315089702606E02.UUE
Attachments00.HQX
Attachments001.BHX
Attachments [001]. B64
eBook.Uu
Подлинный Message.B64
SeX.mim
Sex.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
В таком случае, специальный инструмент необходим для распаковки и выполнить червя.
На каждый 3-й день месяца, червь пытается удалить данные файлы с расширениями *. DMP, *. DOC, *. MDB, MDE *., *. PDF, *. PPS, *. PPT, *. PSD , *. RAR, *. XLS, *. ZIP
Avast! с VPS файла от года или после 17 января 2006 года, в состоянии обнаружить этот червь.
| Дизайн разработан