IM-Worm.Win32.VB.e

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 200КБ. IM-Worm.Win32.VB.a выбрасывает из себя и запускает на исполнение бэкдор Backdoor.Win32.Rbot.hg.

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 200КБ.

IM-Worm.Win32.VB.a выбрасывает из себя и запускает на исполнение бэкдор Backdoor.Win32.Rbot.hg.

После запуска червь копирует себя в корневой каталог (как правило, C:), используя одно из следующих имен:

     * bedroom-thongs.pif
     * Hot.pif
     * LMAO.pif
     * LOL.scr
     * naked_drunk.pif
     * new_webcam.pif
     * ROFL.pif
     * underware.pif
     * Webcam.pif 
 

Также червь копирует себя в системный каталог Windows под именем msnus.exe:

%System%\msnus.exe

Червь проверяет наличие на компьютере следующих файлов:

 
     * dnsserv.exe
     * winhost.exe
     * winis.exe 
 

В случае если ни один из них не был найден, IM-Worm.Win32.VB.e создает и запускает файл cz.exe. Этот файл является бэкдором Backdoor.Win32.Rbot.hg.

После своего запуска этот бэкдор копирует себя в системный каталог Windows под именем winhost.exe.

Затем бэкдор регистрирует этот файл в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\RunServices]
 [HKCU\Software\Microsoft\OLE]
  "win32"="winhost.exe" 

Червь создает в корневом каталоге диска C: файл sexy.jpg и запускает его, демонстрируя следующее изображение:

Распространение через MSN

При запуске червь получает доступ к списку контактов MSN Messenger и рассылает себя с вышеперечисленными именами по всем найденным адресам.

Действие

Червь изменяет уровень громкости звука на зараженном компьютере до нуля.