Тип вируса: Почтовые черви массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: может быть 23 552 байт, 55 804 байта, 53 765 байт, 49 152 байта, 65 024 байта, 49 411 байт

Упакован: могут быть упакованы UPX

Техническая информация

При своем запуске выводит сообщение "Warning. This File Has Been Damage"

Создаёт свои копии в c:\%WinDir%\Mstray.exe (23 552 байта), c:\%WinDir%\MShelp.exe,

c:\comment.htt, содержащий скрипт, написанный на языке Visual Basic Script. Определяется Dr.Web как Trojan.AppActXComp.

Помещает в файл desktop.ini строку HTMLInfoTipFile=file://Comment.htt

Червь отслеживает активных окон приложений - если зайти с его помощью в каталог с копией червя, то он скопирует себя в другую папку с другим именем.

Модифицирует значение ключа в системном реестре:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\ 

"fullpath" = 1

Это делается для того, чтобы Explorer отображал в заголовках активных окон полный путь к файлу.

Блокирует открытие системных и скрытых файлов, устанавливая значение ключа

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"=0

Создаёт файл Winfile.exe на дисках A:\, C:\, D:\, E:\ в случае их доступности.

Адреса для своей рассылки ищет, сканируя адресную книгу MS Outlook.

Рассылаемые сообщения имеют вид:

Тема: MS?DOS???? 

Тело письма: ???????? MS-DOS????????????????

Вложение: MShelp.exe