Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.
Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.
IM-Worm.Win32.VB.a выбрасывает из себя и затем запускает бэкдор Backdoor.Win32.Rbot.fy.
Инсталляция
После запуска червь копирует себя в корневой каталог (как правило, C:\), используя одно из следующих имен:
* Drunk_lol.pif * love_me.pif * naked_party.pif * sexy_bedroom.pif * Webcam_004.pif
Также червь создает в системном каталоге Windows файл с одним из следующих имен:
* %System%\adaware.exe * %System%\VB6.EXE * %System%\lexplore.exe * %System%\Win32.exe
Этот файл является бэкдором Backdoor.Win32.Rbot.fy.
Затем червь регистрирует этот файл в ключах автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices] [HKCU\Software\Microsoft\OLE] "lexplore"="lexplore.exe"
Распространение через MSN
При запуске червь получает доступ к списку контактов MSN Messenger и рассылает себя с вышеперечисленными именами по всем найденным адресам.
Действие
Червь блокирует запуск следующих файлов:
* cmd.exe * taskmgr.exe
Червь модифицирует системные файлы таким образом, чтобы перекрыть пользователю доступ к функциям контекстного меню (правая кнопка мыши).
Но доступ к знаниям открыт для всех