Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл).
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.
После запуска червь копирует свое тело в следующий файл:
%USERPROFILE%\Application Data\rmhzb.exeФайл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:
<имя зараженного раздела>:\SLOBODAN\vasic.exeФайлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\autorun.infкоторый позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
%USERPROFILE%\Application Data\rmhzb.exe
<имя зараженного раздела>:\SLOBODAN\vasic.exe
<имя зараженного раздела>:\autorun.inf
jebena.anan***ic.su
peer.pickeklo***ke.ru