IM-Worm.Win32.VB.a

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.

IM-Worm.Win32.VB.a («Лаборатория Касперского») также известен как: W32.Bropia (Symantec), Win32.HLLW.Bropia (Doctor Web), W32/Bropia-A (Sophos), Win32/Bropia.A.worm (RAV), WORM_BROPIA.A (Trend Micro), Worm/RBot.119296 (H+BEDV), W32/Bropia.A (FRISK), Worm/VB.3.W (Grisoft), Win32.Worm.Bropia.A (SOFTWIN), Worm.Bropia.A (ClamAV), W32/Bropia.A.worm (Panda), Win32/VB.NBF (Eset)

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.

IM-Worm.Win32.VB.a выбрасывает из себя и затем запускает бэкдор Backdoor.Win32.Rbot.fy.

Инсталляция

После запуска червь копирует себя в корневой каталог (как правило, C:\), используя одно из следующих имен:


    * Drunk_lol.pif
    * love_me.pif
    * naked_party.pif
    * sexy_bedroom.pif
    * Webcam_004.pif 

Также червь создает в системном каталоге Windows файл с одним из следующих имен:


    * %System%\adaware.exe
    * %System%\VB6.EXE
    * %System%\lexplore.exe
    * %System%\Win32.exe 

Этот файл является бэкдором Backdoor.Win32.Rbot.fy.

Затем червь регистрирует этот файл в ключах автозагрузки системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices]
[HKCU\Software\Microsoft\OLE]
 "lexplore"="lexplore.exe"

Распространение через MSN

При запуске червь получает доступ к списку контактов MSN Messenger и рассылает себя с вышеперечисленными именами по всем найденным адресам.

Действие

Червь блокирует запуск следующих файлов:


    * cmd.exe
    * taskmgr.exe 

Червь модифицирует системные файлы таким образом, чтобы перекрыть пользователю доступ к функциям контекстного меню (правая кнопка мыши).