Тип вируса: Почтовые черви массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: может быть 23 552 байт, 55 804 байта, 53 765 байт, 49 152 байта, 65 024 байта, 49 411 байт
Упакован: могут быть упакованы UPX
Техническая информация При своем запуске выводит сообщение "Warning. This File Has Been Damage" Создаёт свои копии в c:\%WinDir%\Mstray.exe (23 552 байта), c:\%WinDir%\MShelp.exe, c:\comment.htt, содержащий скрипт, написанный на языке Visual Basic Script. Определяется Dr.Web как Trojan.AppActXComp.
Помещает в файл desktop.ini строку HTMLInfoTipFile=file://Comment.htt
Червь отслеживает активных окон приложений - если зайти с его помощью в каталог с копией червя, то он скопирует себя в другую папку с другим именем. Модифицирует значение ключа в системном реестре: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\ "fullpath" = 1 Это делается для того, чтобы Explorer отображал в заголовках активных окон полный путь к файлу.
Блокирует открытие системных и скрытых файлов, устанавливая значение ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"=0 Создаёт файл Winfile.exe на дисках A:\, C:\, D:\, E:\ в случае их доступности. Адреса для своей рассылки ищет, сканируя адресную книгу MS Outlook. Рассылаемые сообщения имеют вид: Тема: MS?DOS???? Тело письма: ???????? MS-DOS???????????????? Вложение: MShelp.exe
|