Email-Worm.Win32. Warezov.nd

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 90304 байта. Упакован с помощью Upack, распакованный размер — около 237 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:

  %System%\shfoxpob.dat
  %System%\shfoxpob.exe
  %System%\shfoxpob.dll

Также вирус генерирует ключ в системном реестре:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shfoxpob]
  "DllName" = "%System%\shfoxpob.dll"
  "Startup" = "WlxStartupEvent"
  "Shutdown" = "WlxShutdownEvent"
  "Impersonate" = dword:00000000
  "Asynchronous" = dword:00000000

Распространение

Данный червь распространяется при помощи рассылки ICQ-сообщений.

Сообщения включают текст «Check this::», после которого следует URL:

  http://******adfesunkawunsa.com/1/853/
  

После открытия данной ссылки в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «archive.exe», являющийся последней модификацией данного семейства червей.

Деструктивная активность

Вирус отключает различное антивирусное программное обеспечение, установленное на компьютере (в том числе межсетевые экраны).

Также червь имеет функцию загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов на исполнение.