Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь является приложением Windows (PE EXE-файл), имеет размер около 117 КБ. Упакован при помощи UPack. Размер в распакованном виде — около 470 КБ.
Инсталляция
После запуска червь копирует себя в корневой каталог Windows с именем t2serv.exe:
%Windir%\t2serv.exe
Также червь создает следующий файл в системном каталоге Windows:
%System%\wmnecomc.dll
Также червь создает следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"t2serv"="%Windir%\t2serv.exe s"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wmnecomc.dll e1.dll"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках