Email-Worm.Win32.Doombot.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Является приложением Windows (PE EXE-файл), имеет размер 50176 байт.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем winsvc.exe:

 
 %System%\winsvc.exe
 

Затем червь регистрирует этот файл в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "WINDOWS SVC"="winsvc.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующий ключ системного реестра с целью блокировки сервиса Shared Access:

 
 [HKLM\System\CurrentControlSet\Services\SharedAccess]
  "Start"="4"

Для изменения уровня защиты в Internet Explorer троянец изменяет различные ключи в следующем разделе системного реестра:

 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

 
 adb
 asp
 cgi
 dbx
 htm
 html
 jsp
 php
 pl
 sht
 tbb
 wab
 xml
 

При этом червем игнорируются адреса, содержащие следующие подстроки:

 
 .edu
 .gov
 .mil
 abuse
 accoun
 acketst
 admin
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bugs
 ca
 certific
 contact
 example
 feste
 fido
 foo.
 fsf.
 gnu
 gold-certs
 google
 gov.
 help
 hotmail
 iana
 ibm.com
 icrosof
 icrosoft
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 listserv
 math
 me
 mit.e
 mozilla
 msn.
 mydomai
 no
 nobody
 nodomai
 noone
 not
 nothing
 ntivi
 page
 panda
 pgp
 postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 spam
 spm
 submit
 support
 syma
 tanford.e
 the.bat
 unix
 usenet
 utgers.ed
 webmaster
 www
 you
 your
 

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

     * adam
     * alex
     * andrew
     * anna
     * bill
     * bob
     * brenda
     * brent
     * brian
     * claudia
     * dan
     * dave
     * david
     * debby
     * frank
     * fred
     * george
     * helen
     * jack
     * james
     * jane
     * jerry
     * jim
     * jimmy
     * joe
     * john
     * jose
     * josh
     * julie
     * kevin
     * leo
     * linda
     * maria
     * mary
     * matt
     * michael
     * mike
     * paul
     * peter
     * ray
     * robert
     * sales
     * sam
     * sandra
     * serg
     * smith
     * stan
     * steve
     * ted
     * tom 
 

Тема письма:

Выбирается из списка:

 
     * *DETECTED* Online User Violation
     * Email Account Suspension
     * Important Notification
     * Members Support
     * Notice of account limitation
     * Security measures
     * Warning Message: Your services near to be closed.
     * You have successfully updated your password
     * Your Account is Suspended
     * Your Account is Suspended For Security Reasons
     * Your new account password is approved
     * Your password has been successfully updated
     * Your password has been updated 
 

Текст письма:

Выбирается из списка:

 
     *
 
       Dear user <случайное имя>,
       You have successfully updated the password of your <случайное имя> account.
       If you did not authorize this change or if you need assistance with your account, please contact <случайное имя> customer service at: <случайное имя>
       Thank you for using <случайное имя>!
       The <случайное имя> Support Team
 
       +++ Attachment: No Virus (Clean)
       +++ <случайное имя> Antivirus - www. <случайное имя>
     *
 
       Dear user <случайное имя>,
       It has come to our attention that your <случайное имя> User Profile ( x ) records are out of date. For further details see the attached document.
       Thank you for using <случайное имя>!
       The <случайное имя> Support Team
 
       +++ Attachment: No Virus (Clean)
       +++ <случайное имя> Antivirus - www. <случайное имя>
     *
 
       Dear <случайное имя> Member,
       We have temporarily suspended your email account <случайное имя>.
       This might be due to either of the following reasons:
       1. A recent change in your personal information (i.e. change of address).
       2. Submiting invalid information during the initial sign up process.
       3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
       See the details to reactivate your <случайное имя> account.
       Sincerely,The <случайное имя> Support Team
 
       +++ Attachment: No Virus (Clean)
 
       +++ <случайное имя> Antivirus - www. <случайное имя>
     *
 
       Dear <случайное имя> Member,
       Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. 
 If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
       If you choose to ignore our request, you leave us no choice but to cancel your membership.
       Virtually yours,
       The <случайное имя> Support Team
 
       +++ Attachment: No Virus found
       +++ <случайное имя> Antivirus - www. <случайное имя>
 

Имя файла-вложения:

Выбирается из списка:

     * accepted-password
     * account-details
     * account-info
     * account-password
     * account-report
     * approved-password
     * document
     * email-details
     * email-password
     * important-details
     * new-password
     * password
     * readme
     * updated-password 
 

Вложения могут иметь одно из расширений:

 
     * bat
     * cmd
     * exe
     * pif
     * scr 

Также во вложении может быть zip-файл, содержащий копию червя с двойным расширением.

Например:

 important-details.txt <много пробелов> .scr

Удаленное администрирование

Doombot.a открывает на зараженной машине случайный TCP-порт для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 
 127.0.0.1www.symantec.com
 127.0.0.1securityresponse.symantec.com
 127.0.0.1symantec.com
 127.0.0.1www.sophos.com
 127.0.0.1sophos.com
 127.0.0.1www.mcafee.com
 127.0.0.1mcafee.com
 127.0.0.1liveupdate.symantecliveupdate.com
 127.0.0.1www.viruslist.com
 127.0.0.1viruslist.com
 127.0.0.1viruslist.com
 127.0.0.1f-secure.com
 127.0.0.1www.f-secure.com
 127.0.0.1kaspersky.com
 127.0.0.1kaspersky-labs.com
 127.0.0.1www.avp.com
 127.0.0.1www.kaspersky.com
 127.0.0.1avp.com
 127.0.0.1www.networkassociates.com
 127.0.0.1networkassociates.com
 127.0.0.1www.ca.com
 127.0.0.1ca.com
 127.0.0.1mast.mcafee.com
 127.0.0.1my-etrust.com
 127.0.0.1www.my-etrust.com
 127.0.0.1download.mcafee.com
 127.0.0.1dispatch.mcafee.com
 127.0.0.1secure.nai.com
 127.0.0.1nai.com
 127.0.0.1www.nai.com
 127.0.0.1update.symantec.com
 127.0.0.1updates.symantec.com
 127.0.0.1us.mcafee.com
 127.0.0.1liveupdate.symantec.com
 127.0.0.1customer.symantec.com
 127.0.0.1rads.mcafee.com
 127.0.0.1trendmicro.com
 127.0.0.1pandasoftware.com
 127.0.0.1www.pandasoftware.com
 127.0.0.1www.trendmicro.com
 127.0.0.1www.grisoft.com
 127.0.0.1www.microsoft.com
 127.0.0.1microsoft.com
 127.0.0.1www.virustotal.com
 127.0.0.1virustotal.com
 127.0.0.1www.amazon.com
 127.0.0.1www.amazon.co.uk
 127.0.0.1www.amazon.ca
 127.0.0.1www.amazon.fr
 127.0.0.1www.paypal.com
 127.0.0.1paypal.com
 127.0.0.1moneybookers.com
 127.0.0.1www.moneybookers.com
 127.0.0.1www.ebay.com
 127.0.0.1ebay.com
 

Также червь выгружает из памяти процессы, имена которых попадают в следующий список:

 _AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 ACKWIN32.EXE
 ADAWARE.EXE
 ADVXDWIN.EXE
 AGENTSVR.EXE
 AGENTW.EXE
 ALERTSVC.EXE
 ALEVIR.EXE
 ALOGSERV.EXE
 AMON9X.EXE
 ANTI-TROJAN.EXE
 ANTIVIRUS.EXE
 ANTS.EXE
 APIMONITOR.EXE
 APLICA32.EXE
 APVXDWIN.EXE
 ARR.EXE
 ATCON.EXE
 ATGUARD.EXE
 ATRO55EN.EXE
 ATUPDATER.EXE
 ATWATCH.EXE
 AUPDATE.EXE
 AUTODOWN.EXE
 AUTO-PROTECT.NAV80TRY.EXE
 AUTOTRACE.EXE
 AUTOUPDATE.EXE
 AVCONSOL.EXE
 AVE32.EXE
 AVGCC32.EXE
 AVGCTRL.EXE
 AVGNT.EXE
 AVGSERV.EXE
 AVGSERV9.EXE
 AVGUARD.EXE
 AVGW.EXE
 AVKPOP.EXE
 AVKSERV.EXE
 AVKSERVICE.EXE
 AVKWCTl9.EXE
 AVLTMAIN.EXE
 AVNT.EXE
 AVP.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPDOS32.EXE
 AVPM.EXE
 AVPTC32.EXE
 AVPUPD.EXE
 AVSCHED32.EXE
 AVSYNMGR.EXE
 AVWINNT.EXE
 AVWUPD.EXE
 AVWUPD32.EXE
 AVWUPSRV.EXE
 AVXMONITOR9X.EXE
 AVXMONITORNT.EXE
 AVXQUAR.EXE
 BACKWEB.EXE
 BARGAINS.EXE
 BD_PROFESSIONAL.EXE
 BEAGLE.EXE
 BELT.EXE
 BIDEF.EXE
 BIDSERVER.EXE
 BIPCP.EXE
 BIPCPEVALSETUP.EXE
 BISP.EXE
 BLACKD.EXE
 BLACKICE.EXE
 BLSS.EXE
 BOOTCONF.EXE
 BOOTWARN.EXE
 BORG2.EXE
 BPC.EXE
 BRASIL.EXE
 BS120.EXE
 BUNDLE.EXE
 BVT.EXE
 CCAPP.EXE
 CCEVTMGR.EXE
 CCPXYSVC.EXE
 CDP.EXE
 CFD.EXE
 CFGWIZ.EXE
 CFIADMIN.EXE
 CFIAUDIT.EXE
 CFINET.EXE
 CFINET32.EXE
 CLAW95CF.EXE
 CLEAN.EXE
 CLEANER.EXE
 CLEANER3.EXE
 CLEANPC.EXE
 CLICK.EXE
 CMD.EXE
 CMD32.EXE
 CMESYS.EXE
 CMGRDIAN.EXE
 CMON016.EXE
 CONNECTIONMONITOR.EXE
 CPD.EXE
 CPF9X206.EXE
 CPFNT206.EXE
 CTRL.EXE
 CWNB181.EXE
 CWNTDWMO.EXE
 DATEMANAGER.EXE
 DCOMX.EXE
 DEFALERT.EXE
 DEFSCANGUI.EXE
 DEFWATCH.EXE
 DEPUTY.EXE
 DIVX.EXE
 DLLCACHE.EXE
 DLLREG.EXE
 DOORS.EXE
 DPF.EXE
 DPFSETUP.EXE
 DPPS2.EXE
 DRWATSON.EXE
 DRWEB32.EXE
 DRWEBUPW.EXE
 DSSAGENT.EXE
 DVP95.EXE
 DVP95_0.EXE
 ECENGINE.EXE
 EFPEADM.EXE
 EMSW.EXE
 ENT.EXE
 ESAFE.EXE
 ESCANHNT.EXE
 ESCANV95.EXE
 ESPWATCH.EXE
 ETHEREAL.EXE
 ETRUSTCIPE.EXE
 EVPN.EXE
 EXANTIVIRUS-CNET.EXE
 EXE.AVXW.EXE
 EXPERT.EXE
 EXPLORE.EXE
 FAMEH32.EXE
 FAST.EXE
 FCH32.EXE
 FIH32.EXE
 FINDVIRU.EXE
 FIREWALL.EXE
 FNRB32.EXE
 FPROT.EXE
 F-PROT.EXE
 F-PROT95.EXE
 FP-WIN.EXE
 FP-WIN_TRIAL.EXE
 FRW.EXE
 FSAA.EXE
 FSAV.EXE
 FSAV32.EXE
 FSAV530STBYB.EXE
 FSAV530WTBYB.EXE
 FSAV95.EXE
 FSGK32.EXE
 FSM32.EXE
 FSMA32.EXE
 FSMB32.EXE
 F-STOPW.EXE
 GATOR.EXE
 GBMENU.EXE
 GBPOLL.EXE
 GENERICS.EXE
 GMT.EXE
 GUARD.EXE
 GUARDDOG.EXE
 HACKTRACERSETUP.EXE
 HBINST.EXE
 HBSRV.EXE
 HOTACTIO.EXE
 HOTPATCH.EXE
 HTLOG.EXE
 HTPATCH.EXE
 HWPE.EXE
 HXDL.EXE
 HXIUL.EXE
 IAMAPP.EXE
 IAMSERV.EXE
 IAMSTATS.EXE
 IBMASN.EXE
 IBMAVSP.EXE
 ICLOADNT.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICSUPPNT.EXE
 IDLE.EXE
 IEDLL.EXE
 IEDRIVER.EXE
 IEXPLORER.EXE
 IFACE.EXE
 IFW2000.EXE
 INETLNFO.EXE
 INFUS.EXE
 INFWIN.EXE
 INIT.EXE
 INTDEL.EXE
 INTREN.EXE
 IOMON98.EXE
 ISTSVC.EXE
 JAMMER.EXE
 JDBGMRG.EXE
 JEDI.EXE
 KAVLITE40ENG.EXE
 KAVPERS40ENG.EXE
 KAVPF.EXE
 KAZZA.EXE
 KEENVALUE.EXE
 KERIO-PF-213-EN-WIN.EXE
 KERIO-WRL-421-EN-WIN.EXE
 KERIO-WRP-421-EN-WIN.EXE
 KERNEL32.EXE
 KILLPROCESSSETUP161.EXE
 LAUNCHER.EXE
 LDNETMON.EXE
 LDPRO.EXE
 LDPROMENU.EXE
 LDSCAN.EXE
 LNETINFO.EXE
 LOADER.EXE
 LOCALNET.EXE
 LOCKDOWN.EXE
 LOCKDOWN2000.EXE
 LOOKOUT.EXE
 LORDPE.EXE
 LSETUP.EXE
 LUALL.EXE
 LUAU.EXE
 LUCOMSERVER.EXE
 LUINIT.EXE
 LUSPT.EXE
 MAPISVC32.EXE
 MCAGENT.EXE
 MCMNHDLR.EXE
 MCSHIELD.EXE
 MCTOOL.EXE
 MCUPDATE.EXE
 MCVSRTE.EXE
 MCVSSHLD.EXE
 MFIN32.EXE
 MFW2EN.EXE
 MFWENG3.02D30.EXE
 MGAVRTCL.EXE
 MGAVRTE.EXE
 MGHTML.EXE
 MGUI.EXE
 MINILOG.EXE
 MMOD.EXE
 MONITOR.EXE
 MOOLIVE.EXE
 MOSTAT.EXE
 MPFAGENT.EXE
 MPFSERVICE.EXE
 MPFTRAY.EXE
 MRFLUX.EXE
 MSAPP.EXE
 MSBB.EXE
 MSBLAST.EXE
 MSCACHE.EXE
 MSCCN32.EXE
 MSCMAN.EXE
 MSCONFIG.EXE
 MSDM.EXE
 MSDOS.EXE
 MSIEXEC16.EXE
 MSINFO32.EXE
 MSLAUGH.EXE
 MSMGT.EXE
 MSMSGRI32.EXE
 MSSMMC32.EXE
 MSSYS.EXE
 MSVXD.EXE
 MU0311AD.EXE
 MWATCH.EXE
 N32SCANW.EXE
 NAV.EXE
 NAVAP.NAVAPSVC.EXE
 NAVAPSVC.EXE
 NAVAPW32.EXE
 NAVDX.EXE
 NAVLU32.EXE
 NAVNT.EXE
 NAVSTUB.EXE
 NAVW32.EXE
 NAVWNT.EXE
 NC2000.EXE
 NCINST4.EXE
 NDD32.EXE
 NEC.EXE
 NEOMONITOR.EXE
 NEOWATCHLOG.EXE
 NETARMOR.EXE
 NETD32.EXE
 NETINFO.EXE
 NETMON.EXE
 NETSCANPRO.EXE
 NETSPYHUNTER-1.2.EXE
 NETSTAT.EXE
 NETUTILS.EXE
 NISSERV.EXE
 NISUM.EXE
 NMAIN.EXE
 NOD32.EXE
 NORMIST.EXE
 NORTON_INTERNET_SECU_3.0_407.EXE
 NOTSTART.EXE
 NPF40_TW_98_NT_ME_2K.EXE
 NPFMESSENGER.EXE
 NPROTECT.EXE
 NPSCHECK.EXE
 NPSSVC.EXE
 NSCHED32.EXE
 NSSYS32.EXE
 NSTASK32.EXE
 NSUPDATE.EXE
 NTRTSCAN.EXE
 NTVDM.EXE
 NTXconfig.EXE
 NUI.EXE
 NUPGRADE.EXE
 NVARCH16.EXE
 NVC95.EXE
 NVSVC32.EXE
 NWINST4.EXE
 NWSERVICE.EXE
 NWTOOL16.EXE
 OLLYDBG.EXE
 ONSRVR.EXE
 OPTIMIZE.EXE
 OSTRONET.EXE
 OTFIX.EXE
 OUTPOST.EXE
 OUTPOSTINSTALL.EXE
 OUTPOSTPROINSTALL.EXE
 PADMIN.EXE
 PANIXK.EXE
 PATCH.EXE
 PAVCL.EXE
 PAVPROXY.EXE
 PAVSCHED.EXE
 PAVW.EXE
 PCFWALLICON.EXE
 PCIP10117_0.EXE
 PCSCAN.EXE
 PDSETUP.EXE
 PERISCOPE.EXE
 PERSFW.EXE
 PERSWF.EXE
 PF2.EXE
 PFWADMIN.EXE
 PGMONITR.EXE
 PINGSCAN.EXE
 PLATIN.EXE
 POP3TRAP.EXE
 POPROXY.EXE
 POPSCAN.EXE
 PORTDETECTIVE.EXE
 PORTMONITOR.EXE
 POWERSCAN.EXE
 PPINUPDT.EXE
 PPTBC.EXE
 PPVSTOP.EXE
 PRIZESURFER.EXE
 PRMT.EXE
 PRMVR.EXE
 PROCDUMP.EXE
 PROCESSMONITOR.EXE
 PROCEXPLORERV1.0.EXE
 PROGRAMAUDITOR.EXE
 PROPORT.EXE
 PROTECTX.EXE
 PSPF.EXE
 PURGE.EXE
 QCONSOLE.EXE
 QSERVER.EXE
 RAPAPP.EXE
 RAV7.EXE
 RAV7WIN.EXE
 RAV8WIN32ENG.EXE
 RAY.EXE
 RB32.EXE
 RCSYNC.EXE
 REALMON.EXE
 REGED.EXE
 REGEDIT.EXE
 REGEDT32.EXE
 RESCUE.EXE
 RESCUE32.EXE
 RRGUARD.EXE
 RSHELL.EXE
 RTVSCAN.EXE
 RTVSCN95.EXE
 RULAUNCH.EXE
 RUN32DLL.EXE
 RUNDLL.EXE
 RUNDLL16.EXE
 RUXDLL32.EXE
 SAFEWEB.EXE
 SAHAGENT.EXE
 SAVE.EXE
 SAVENOW.EXE
 SBSERV.EXE
 SCAM32.EXE
 SCAN32.EXE
 SCAN95.EXE
 SCANPM.EXE
 SCRSCAN.EXE
 SETUP_FLOWPROTECTOR_US.EXE
 SETUPVAMEEVAL.EXE
 SFC.EXE
 SGSSFW32.EXE
 SHELLSPYINSTALL.EXE
 SHN.EXE
 SHOWBEHIND.EXE
 SMC.EXE
 SMS.EXE
 SMSS32.EXE
 SOAP.EXE
 SOFI.EXE
 SPERM.EXE
 SPF.EXE
 SPHINX.EXE
 SPOLER.EXE
 SPOOLCV.EXE
 SPOOLSV32.EXE
 SPYXX.EXE
 SREXE.EXE
 SRNG.EXE
 SS3EDIT.EXE
 SSG_4104.EXE
 SSGRATE.EXE
 ST2.EXE
 START.EXE
 STCLOADER.EXE
 SUPFTRL.EXE
 SUPPORT.EXE
 SUPPORTER5.EXE
 SVC.EXE
 SVCHOSTC.EXE
 SVCHOSTS.EXE
 SVSHOST.EXE
 SWEEP95.EXE
 SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
 SYMPROXYSVC.EXE
 SYMTRAY.EXE
 SYSEDIT.EXE
 SYSTEM.EXE
 SYSTEM32.EXE
 SYSUPD.EXE
 TASKMG.EXE
 TASKMGR.EXE
 TASKMO.EXE
 TASKMON.EXE
 TAUMON.EXE
 TBSCAN.EXE
 TCA.EXE
 TCM.EXE
 TDS2-NT.EXE
 TDS-3.EXE
 TEEKIDS.EXE
 TFAK.EXE
 TFAK5.EXE
 TGBOB.EXE
 TITANIN.EXE
 TITANINXP.EXE
 TRACERT.EXE
 TRICKLER.EXE
 TRJSCAN.EXE
 TRJSETUP.EXE
 TROJANTRAP3.EXE
 TSADBOT.EXE
 TVMD.EXE
 TVTMD.EXE
 UNDOBOOT.EXE
 UPDAT.EXE
 UPDATE.EXE
 UPGRAD.EXE
 UTPOST.EXE
 VBCMSERV.EXE
 VBCONS.EXE
 VBUST.EXE
 VBWIN9X.EXE
 VBWINNTW.EXE
 VCSETUP.EXE
 VET32.EXE
 VET95.EXE
 VETTRAY.EXE
 VFSETUP.EXE
 VIR-HELP.EXE
 VIRUSMDPERSONALFIREWALL.EXE
 VNLAN300.EXE
 VNPC3000.EXE
 VPC32.EXE
 VPC42.EXE
 VPFW30S.EXE
 VPTRAY.EXE
 VSCAN40.EXE
 VSCENU6.02D30.EXE
 VSCHED.EXE
 VSECOMR.EXE
 VSHWIN32.EXE
 VSISETUP.EXE
 VSMAIN.EXE
 VSMON.EXE
 VSSTAT.EXE
 VSWIN9XE.EXE
 VSWINNTSE.EXE
 VSWINPERSE.EXE
 W32DSM89.EXE
 W9X.EXE
 WATCHDOG.EXE
 WEBDAV.EXE
 WEBSCANX.EXE
 WEBTRAP.EXE
 WFINDV32.EXE
 WHOSWATCHINGME.EXE
 WIMMUN32.EXE
 WIN32.EXE
 WIN32US.EXE
 WINACTIVE.EXE
 WIN-BUGSFIX.EXE
 WINDOW.EXE
 WINDOWS.EXE
 WININETD.EXE
 WININIT.EXE
 WININITX.EXE
 WINLOGIN.EXE
 WINMAIN.EXE
 WINNET.EXE
 WINPPR32.EXE
 WINRECON.EXE
 WINSERVN.EXE
 WINSSK32.EXE
 WINSTART.EXE
 WINSTART001.EXE
 WINTSK32.EXE
 WINUPDATE.EXE
 WKUFIND.EXE
 WNAD.EXE
 WNT.EXE
 WRADMIN.EXE
 WRCTRL.EXE
 WSBGATE.EXE
 WUPDATER.EXE
 WUPDT.EXE
 WYVERNWORKSFIREWALL.EXE
 XPF202EN.EXE
 ZAPRO.EXE
 ZAPSETUP3001.EXE
 ZATUTOR.EXE
 ZONALM2601.EXE
 ZONEALARM.EXE