Червь, создающий свои копии на локальных и доступных для записи съемных дисках, содержащий также функционал троянской программы, загружающей файлы из сети Интернет без ведома пользователя и запускающая их.
Червь, создающий свои копии на локальных и доступных для записи съемных дисках, содержащий также функционал троянской программы, загружающей файлы из сети Интернет без ведома пользователя и запускающая их.. Является приложением Windows (PE-EXE файл). Имеет размер 6656 байт. Написан на C++.
После запуска червь копирует свое тело в следующие файлы:
%System%\win32ini.exeСозданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
%WinDir%\netlog.dat
%WinDir%\systime.exe
Для автоматического запуска одной из созданных копий при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]Далее созданная ранее копия с именем "systime.exe" запускается на выполнение, а оригинальный файл червя завершает свою работу.
"Initialize Win32" = "win32ini.exe"
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
<имя зараженного раздела>:\openflash.exeВместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\autorun.infследующего содержания:
[autorun]что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
open=openflash.exe
action=Открыть папку для просмотра файлов
action=@openflash.exe
icon=shell32.dll,7
shell\open=Открыть папку для просмотра файлов
shell\open\Command=openflash.exe
shell\open\Default=1
shell\explore=Открыть
shell\explore\Command=openflash.exe
Спойлер: она начинается с подписки на наш канал