Сетевой червь. Распространяется через доступные сетевые ресурсы.
Инсталляция
После запуска программа копирует себя в корневой каталог Windows:
%WinDir%\Logo1_.exe %WinDir%\uninstall\rundl132.exe
Для автоматической загрузки при каждом последующем старте системы червь добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load" = "%WinDir%\uninstall\rundl132.exe"
Также в корневом каталоге Windows создаётся файл размером 31116 байт, имеющий имя «RichDll.dll»:
%WinDir%\RichDll.dll
Червь генерирует ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\Soft\DownloadWWW]
Распространение через локальную сеть
Вирус копирует свое тело во все папки, содержащие файлы с расширением .exe — на все разделы жесткого диска, начиная с последнего, а также на доступные для записи сетевые папки.
Деструктивная активность
Червь ищет в системе и завершает процессы со следующими именами:
EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE Ravmond.EXE regsvc.exe RavMon.exe mcshield.exe KVMONXP.KXP KRegEx.exe KVXP.KXP
Производится остановка службы «Kingsoft AntiVirus Service».
Вредоносная программа разыскивает в системе процесс avp.exe. Если находит, выполняет следующие действия:
* устанавливает уровень громкости звука на минимум, чтобы не было слышно звуковых предупреждений антивирусной программы;
* ищет в системе окно с именем класса «AVP.AlertDialog» и имитирует в нем нажатие на кнопку «Разрешить».
Червь следит за активностью пользователя в окнах следующих приложений:
lineage.exe Mir.exe Archlord.exe LineageII.exe Ragnarok.exe GameClient.exe
Параметры учетных записей для подключения к серверам данных игр похищаются.
Собранную информацию червь отправляет на электронную почту злоумышленника.
Также вирус скачивает из сети Интернет программы по ссылкам:
http://*****ifafksajof.43242.com/gua/gua1.exe http://*****ifafksajof.43242.com/gua/gua2.exe http://*****ifafksajof.43242.com/gua/gua3.exe http://*****ifafksajof.43242.com/gua/gua4.exe http://*****ifafksajof.43242.com/gua/gua5.exe http://*****ifafksajof.43242.com/gua/gua6.exe http://*****ifafksajof.43242.com/gua/gua7.exe http://*****ifafksajof.43242.com/gua/gua8.exe
После успешной загрузки файлы запускаются на исполнение.
(На момент создания описания данные ссылки не работали.)
В Матрице безопасности выбор очевиден