Почтовый червь. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске червь извлекает из своего тела следующий файл размером 118784 байта:
%WinDir%\rsvp32_2.dll
Деструктивная активность
Вирус подгружает библиотеку «%WinDir%\rsvp32_2.dll» в следующие процессы:
alg.exe
lsass.exe
winlogon.exe
svchost.exe
Данная библиотека пытается установить соединение с сайтом злоумышленника. В случае успешного подключения происходит скачивание списка адресов для рассылки рекламы и тела спам-писем.
Встроенный в червя многофункциональный движок позволяет рассылать спам с использованием следующих протоколов:
ICQ
AIM
Yahoo Messenger
SMTP
Jabber
Первое — находим постоянно, второе — ждем вас