Почтовый червь. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске червь копирует свой исполняемый файл в системный каталог Windows:
%System%\lnwin.exe
Для автоматической загрузки при каждом последующем старте ОС вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lnwin.exe" = "%System%\lnwin.exe"
Также червь извлекает из своего тела следующие файлы:
* %System%\sporder.dll — имеет размер 45 056 байт; * %System%\rsvp32_2.dll — имеет размер 8 704 байта.
Деструктивная активность
На зараженном компьютере выполняется команда, которая разрешает любую сетевую активность компоненту червя:
netsh firewall set allowedprogram %System%\lnwin.exe enable
Вредоносная программа создает файл, где хранит параметры собственной конфигурации:
C:\peers.ini
С периодичностью в 10 минут червь открывает URL:
http://209.123.8.***/files/ctr.php
С сайтов злоумышленника — ***n.voxgratia.org, ***n.ekiga.net и ***n.xten.com — червь получает электронные адреса и контент для отправки спам-писем, после чего осуществляет рассылку спама.
Храним важное в надежном месте