Вирус-червь, распространяющийся при помощи электронной почты.
Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 63 до 120 КБ.
Инсталляция
При запуске червь отображает на экране компьютера следующее сообщение:
Unknown error
Затем вирус копирует свой исполняемый файл в системный каталог Windows под именем «pgpswuau.exe»:
%System%\pgpswuau.exe
И создает следующий файл размером 98304 байта:
%System%\pgpswuau.dll
Также червь прописывает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pgpswuau]
"DllName" = "%System%\pgpswuau.dll"
"Startup" = "WlxStartupEvent"cd
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Распространение посредством электронной почты
С целью поиска адресов будущих жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.
В качестве файла вложения червь рассылает свой компонент, который может загружать из сети Интернет другие вредоносные программы. Он имеет имя вида:
Update-KB<случайное четырехзначное число>-x86.exe
Деструктивная активность
Действия основного модуля червя
Данная вредоносная программа имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Действия рассылаемого по почте компонента
Этот компонент рассылается основным модулем червя и обладает функцией скачивания из Интернета других файлов без ведома пользователя. Загрузка производится со следующего URL:
http://xuyhadesunkadwi.com/***32.exe
На момент создания описания по данной ссылке располагалась последняя модификация исполняемого файла червя.
Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.
Но доступ к знаниям открыт для всех