Virus.Win32. VB.cx

Вредоносная программа, которая находит и заражает исполняемые файлы на компьютере пользователя. Является приложением Windows (PE EXE-файл). Написана на Visual Basic. Ничем не упакована. Размер оригинального вредоносного файла — 348160 байт.

Инсталляция

После запуска выполняется создание копий файла вируса c идентичным оригинальному именем (оригинальное должно быть с расширением .exe) в корневом, системном и временном каталогах Windows:

  %WinDir%\%VirName%.exe
  %System%\%VirName%.exe
  %Temp%\%VirName%.exe
  

Также вирус добавляет ссылку на свою копию в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mab" = "%System%\%VirName%.exe"

Деструктивная активность

После инсталляции происходит поиск всех файлов в корневых каталогах на всех логических дисках в системе. В данных каталогах создаются копии исполняемого файла вируса под тем же именем, что и у оригинального файла, а содержимое найденных файлов с расширениями:

  .cpp
  .doc
  .htm
  .html
  .txt
  .xls
  

перезаписывается следующим текстом (размер 103 байта):

"Sorry!!!! $%%#@&re*$%$rthn#$^&&!f#&%$$f$#df#@^%$~`<:JHFgYttrt" "$%%%7``0924ksh<:{[86#$36455hgf#$45"

Если сканирование диска было окончено, оно повторяется через 5 секунд после завершения.