Уязвимые ОС: Win NT-based
Размер: 80 384 байта
Упакован: -
- Червь, распрострастраняющийся по электронной почте.
- При своём запуске создаёт свою копию в системном каталоге Windows: %WINDIR%\system32\sysboot32.exe
- Для обеспечения своего запуска при каждом старте OC Windows, регистрирует созданную копию в секции автозагрузки системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
System Boot Loader: "C:\WINDOWS\system32\sysboot32.exe"
- Сканирует систему в поисках почтовых адресов для своей дальнейшей рассылки. Ревизии подвергаются адресная книга Outlook\Outlook Express, а также файлы со следующими расширениями:
wab
adb
tbb
dbx
asp
php
sht
htm
txt
- Тема рассылаемые червём сообщений может быть следующей:
Someone has sent you a Private Message!
You have just recieved a NEW message!
You have (1) NEW messages!
- В поле From: подставляется одно из имен, список которых хранится в теле червя:
Harris
Thomas
Allen
Peterson
Edwards
Taylor
Jackson
Anderson
Collins
Parker
Carter
Phillips
Clark
Miller
Davis
Wilson
White
Jones
Johnson
Thompson
Stevens
Wright
Campbell
Smith
Dave
Matt
James
George
Joe
Julie
Debby
Helen
Mary
Steve
Linda
Anna
Jerry
Kevin
David
Sam
Brian
Michael
Mike
Tom
Ashlee
Bob
Andy
Andrew
Bill
Gina
Jenny
Sally
Suzie
Jim
Jack
John
- Домен отправителя подставляется случайным образом из списка:
gmail.com
hotmail.com
yahoo.com
msn.com
aol.com
- Тело сообщения представляет собой HTML-страницу со ссылкой на загрузку.
You have just recieved a new Google Message!
You can view your message here: {target link}
Note: If you do not already have Google Message Viewer installed, you will be prompt
- Содержит функциональные возможности для работы с FTP.
- Блокирует доступ к сайтам различных антивирусных компаний, серверам обновлений соответствующих антивирусных решений, сайту Microsoft и серверу Windows Update, внося изменения в файл host (%WINDIR%\system32\drivers\etc):
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.kaspersky.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
pandasoftware.com
www.pandasoftware.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
microsoft.com
update.microsoft.com
www.virustotal.com
virustotal.com
www.ahnlab.com
suc.ahnlab.com
auth.ahnlab.com
ahnlab.com
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Удалить в файле %WINDIR%\system32\drivers\etc все записи, внесённые червём.
