Worm.Win32.AimVen

Сетевой червь. Распространяется посредством программы America OnLine (AOL) Instant Messenger (AIM).

Сетевой червь. Распространяется посредством программы America OnLine (AOL) Instant Messenger (AIM). Размер файла червя — 8192 байта. Написан на языке Assembler.

Деструктивная активность

Червь создает свою копию в корне диска C: с именем V.exe:


c:\V.exe

Данный файл создается с атрибутом SYSTEM.

Затем червь находит и вносит изменения в один из файлов программы AOL Instant Messenger:

C:\PROGRAM FILES\AIM95\ICBMFT.OCM

Червь изменяет ICBMFT.OCM таким образом, чтобы при отправке пользовательского файла происходила передача копии червя по сети. Данная возможность достигается путем установки собственного перехватчика процедуры отправки файла.

Процедура-перехватчик работает следующим образом: расширение отправляемого файла заменяется на EXE; затем червь создает свою копию с таким же именем и передает управление оригинальной процедуре отправки файла.

Таким образом, вместо отправки исходного файла, пользователь производит рассылку червя по сети.

Другие названия

Worm.Win32.AimVen («Лаборатория Касперского») также известен как: W32/AimVen.worm (McAfee), W32.AimVen.Worm (Symantec), Win32.Aim.8192 (Doctor Web), W32/AimVen-A (Sophos), Win32/HLLW.AimVen (RAV), WORM_AIMVEN.A (Trend Micro), Worm/AimVen (H+BEDV), Win32:Aim (ALWIL), Worm/Aimven (Grisoft), Win32.HLLW.Aimven.A (SOFTWIN), Worm.AimVen (ClamAV), W32/AimVen (Panda), Win32/AimVen.A (Eset)