Вирус-червь. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске червь создает следуюшие файлы:
%System%\msjidpmo.dll %System%\msssmsda.dll %System%\msssmsda.exe
Также генерируется ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda]
"DllName" = "%System%\msssmsda.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Распространение
Данный вирус распространяется при помощи рассылки ICQ-сообщений.
Сообщения содержат текст «Try it», после которого следует ссылка:
http://***.cuhasefunjinksa.com/1/6696/
После открытия URL в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «flash.exe», являющийся последней модификацией семейства Warezov.
Деструктивная активность
Червь подгружает свой компонент под именем «%System%\msjidpmo.dll» в следующие процессы:
services.exe
zlclient.exe
iexplore.exe
mpftray.exe
svchost.exe
outpost.exe
firefox.exe
ccapp.exe
zapro.exe
opera.exe
tsmc.exe
Вирус отключает антивирусное программное обеспечение, установленное на компьютере, а также межсетевые экраны.
Червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов.
Спойлер: мы раскрываем их любимые трюки