IM-Worm.Win32.Aimes.a

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера AOL Instant Messenger. Написан на Visual Basic и имеет размер около 33КБ.

IM-Worm.Win32.Aimes.a («Лаборатория Касперского») также известен как: Malware.d (McAfee), WORM_AIMDES.A (Trend Micro), Worm/Aimes.a (H+BEDV), Win32.Worm.Aimes.A (SOFTWIN), Worm.Aimdes.A (ClamAV), W32/Aimdes.A.worm (Panda), Win32/Aimdes.A (Eset)

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера AOL Instant Messenger.

Написан на Visual Basic и имеет размер около 33КБ.

Инсталляция

После запуска червь копирует себя с именами «msVBdll.exe» и «MsVBdll.pif» в корневой каталог Windows и каталог автозагрузки:

* %Windir%\msVBdll.exe

* %User Profile%\Start Menu\Programs\Startup\msVBdll.exe

* C:\Windows\Msvbdll.pif

Затем червь регистрирует себя в ключах автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\
CurrentVersion\Run]
 "MsVBdll"="C:\Windows\MsVBdll.pif"

Aimes.a создает следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений Windows:


[HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
 "DisableTaskMgr"="dword:00000001"
 "DisableRegistryTools"="dword:00000001"

[HKLM\Software\Microsoft\security center]
[HKCU\Software\Microsoft\security center]
 "FirewallDisableNotify"="dword:00000001"
 "UpdatesDisableNotify"="dword:00000001"
 "AntiVirusDisableNotify"="dword:00000001"

[HKLM\Software\Policies\Microsoft\Windows\
WindowsUpdate\AU]
 "NoAutoUpdate"="dword:00000001"  

После запуска червь может демонстрировать на экране следующие окна:

Распространение через AOL Instant Messenger

При запуске червь получает доступ к списку контактов AOL Instant Messenger и рассылает себя по всем найденным адресам.

Текст сообщения: * Hey whats up!! look what I did to my hair...lol!!

Имя вложения:

* C:\Windows\picture.pif

Действие

Червь пытается завершить следующие процессы:

* lsass.exe

* svchost.exe