IM-Worm.Win32.VB.a

IM-Worm.Win32.VB.a («Лаборатория Касперского») также известен как: W32.Bropia (Symantec), Win32.HLLW.Bropia (Doctor Web), W32/Bropia-A (Sophos), Win32/Bropia.A.worm (RAV), WORM_BROPIA.A (Trend Micro), Worm/RBot.119296 (H+BEDV), W32/Bropia.A (FRISK), Worm/VB.3.W (Grisoft), Win32.Worm.Bropia.A (SOFTWIN), Worm.Bropia.A (ClamAV), W32/Bropia.A.worm (Panda), Win32/VB.NBF (Eset)

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.

IM-Worm.Win32.VB.a выбрасывает из себя и затем запускает бэкдор Backdoor.Win32.Rbot.fy.

Инсталляция

После запуска червь копирует себя в корневой каталог (как правило, C:\), используя одно из следующих имен:

  
      * Drunk_lol.pif
      * love_me.pif
      * naked_party.pif
      * sexy_bedroom.pif
      * Webcam_004.pif 
  

Также червь создает в системном каталоге Windows файл с одним из следующих имен:

  
      * %System%\adaware.exe
      * %System%\VB6.EXE
      * %System%\lexplore.exe
      * %System%\Win32.exe 
  

Этот файл является бэкдором Backdoor.Win32.Rbot.fy.

Затем червь регистрирует этот файл в ключах автозагрузки системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices]
  [HKCU\Software\Microsoft\OLE]
   "lexplore"="lexplore.exe"

Распространение через MSN

При запуске червь получает доступ к списку контактов MSN Messenger и рассылает себя с вышеперечисленными именами по всем найденным адресам.

Действие

Червь блокирует запуск следующих файлов:

  
      * cmd.exe
      * taskmgr.exe 

Червь модифицирует системные файлы таким образом, чтобы перекрыть пользователю доступ к функциям контекстного меню (правая кнопка мыши).