Данная модификация почтового червя представляет собой компонент, используемый другими представителями семейства Warezov.
Инсталляция
Червь устанавливается в систему при помощи другой вредоносной программы.
Деструктивная активность
Вирус останавливает и удаляет из системы следующие службы:
alunotify nod32krn drwebupw piderml wuauclt1 upgrader mcupdate NOD32krn autodown avgupsvc sndsrvc SNDSrvc wuauclt wupdmgr avginet aupdate ndetect luall tbmon wuauserv kavsvc lsetup luinit lucoms kavsvc kav
Вредоносная программа проверяет наличие в системе файла «%System%\e1.dll». Если он существует, червь добавляет ссылку на свой исполняемый файл в параметр ключа реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "<путь к файлу червя>"
Спойлер: мы раскрываем их любимые трюки