Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 30KB, упакован MEW. Размер распакованного файла около 168KB.
Червь содержит в себе бэкдор-функцию.
После запуска червь копирует себя в системный каталог Windows с именем "winlogoff.exe".
Затем изменяет следующую запись в системном реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe winlogoff.exe"
Червь создает уникальный идентификатор "KiPiSx017ZxQ" для определения своего присутствия в системе.
Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Выбирается из списка:
Hello Hi love Re:kiss Re:Love
Выбирается из списка:
Hello! I love sex, is you? Hello baby,this is me screen! Hello this is me present! Cool screen. Bye. I Love You!:) Your Present! Scrren is me faice:) Bye baby!
Выбирается из списка:
FACE.SCR I LOVE YOU.SCR LOVE.SCR PRESENT.SCR SCREEN.SCR
Червь открывает на зараженной машине TCP порт 25 для соединения с mx1.hotmail.com.
Worm.Win32.Drew.a выгружает из системы различные межсетевые экраны и антивирусные программы.
В Матрице безопасности выбор очевиден