Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске троянец копирует свой исполняемый файл следующим образом:
* C:\Program Files\Kazaa\My Shared Folder\Nod32_3_Setup.exe
* C:\Program Files\eMule\incoming\Nod32_3_Setup.exe
* C:\Program Files\grokster\my grokster\Nod32_3_Setup.exe
* C:\Program Files\bearshare\shared\Nod32_3_Setup.exe
* C:\program files\ICQ\Shared Folder\Nod32_3_Setup.exe
* C:\Program Files\winmx\shared\32_3_Setup.exe
* C:\Program Files\morpheus\my shared folder\Nod32_3_Setup.exe
* C:\Program Files\limewire\shared\Nod32_3_Setup.exe
* C:\Program Files\XoloX\Downloads\Nod32_3_Setup.exe
* C:\Program Files\Tesla\Files\Nod32_3_Setup.exe
* C:\Program Files\Nod_IMON.exe
* C:\Regards to Richard Marko, I wish that Advanced Heuristic of NOD will NOT detect this worm.f
Также ссылка на исполняемый файл добавляется в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NodIMON" = "C:\Program Files\Nod_IMON.exe"
Таким образом, вирус будет автоматически запускаться при каждой последующей загрузке Windows.
Деструктивная активность
Троянец завершает следующие процессы:
C:\Program Files\ESET\nod32.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\ESET\nod32krn.exe
А также отображает на экране сообщение с текстом:
BUAHAHAHAHA!!! [-Byt3Cr0W is here!!!-]---WAIT FOR F..
Другие названия
Trojan.Win32.AntiNOD.b («Лаборатория Касперского») также известен как: Generic Delphi (McAfee), W32.SillyP2P (Symantec), Trojan.Antinod (Doctor Web), Trojan:Win32/Nodfu.B (RAV), TROJ_ANTINOD.B (Trend Micro), TR/AntiNOD.B (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.AntiNOD.B (SOFTWIN), Trojan.AntiNOD-2 (ClamAV), W32/Donrow.A.worm (Panda), Win32/Nodfu.B (Eset)
И мы тоже не спим, чтобы держать вас в курсе всех угроз