Вирус-червь. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске червь создает следуюшие файлы:
%System%\shfoxpob.dat %System%\shfoxpob.exe %System%\shfoxpob.dll
Также вирус генерирует ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shfoxpob] "DllName" = "%System%\shfoxpob.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение
Данный червь распространяется при помощи рассылки ICQ-сообщений.
Сообщения включают текст «Check this::», после которого следует URL:
http://******adfesunkawunsa.com/1/853/
После открытия данной ссылки в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «archive.exe», являющийся последней модификацией данного семейства червей.
Деструктивная активность
Вирус отключает различное антивирусное программное обеспечение, установленное на компьютере (в том числе межсетевые экраны).
Также червь имеет функцию загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов на исполнение.
В Матрице безопасности выбор очевиден