IM-Worm.Win32.VB.a

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.

IM-Worm.Win32.VB.a («Лаборатория Касперского») также известен как: W32.Bropia (Symantec), Win32.HLLW.Bropia (Doctor Web), W32/Bropia-A (Sophos), Win32/Bropia.A.worm (RAV), WORM_BROPIA.A (Trend Micro), Worm/RBot.119296 (H+BEDV), W32/Bropia.A (FRISK), Worm/VB.3.W (Grisoft), Win32.Worm.Bropia.A (SOFTWIN), Worm.Bropia.A (ClamAV), W32/Bropia.A.worm (Panda), Win32/VB.NBF (Eset)

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 160КБ.

IM-Worm.Win32.VB.a выбрасывает из себя и затем запускает бэкдор Backdoor.Win32.Rbot.fy.

Инсталляция

После запуска червь копирует себя в корневой каталог (как правило, C:\), используя одно из следующих имен:

 
     * Drunk_lol.pif
     * love_me.pif
     * naked_party.pif
     * sexy_bedroom.pif
     * Webcam_004.pif 
 

Также червь создает в системном каталоге Windows файл с одним из следующих имен:

 
     * %System%\adaware.exe
     * %System%\VB6.EXE
     * %System%\lexplore.exe
     * %System%\Win32.exe 
 

Этот файл является бэкдором Backdoor.Win32.Rbot.fy.

Затем червь регистрирует этот файл в ключах автозагрузки системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\RunServices]
 [HKCU\Software\Microsoft\OLE]
  "lexplore"="lexplore.exe"

Распространение через MSN

При запуске червь получает доступ к списку контактов MSN Messenger и рассылает себя с вышеперечисленными именами по всем найденным адресам.

Действие

Червь блокирует запуск следующих файлов:

 
     * cmd.exe
     * taskmgr.exe 

Червь модифицирует системные файлы таким образом, чтобы перекрыть пользователю доступ к функциям контекстного меню (правая кнопка мыши).