Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Размер зараженного файла 154624 байт.
Инсталляция
При инсталляции червь копирует себя в корневой каталог Windows в папку Fonts со случайным именем:
%Windir%\Fonts\<случайное имя>.com
Затем червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "TempCom"="%Windir%\Fonts\<случайное имя>.com"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState] "fullpath"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "HideFileExt" = "1" "Hidden" = "0"
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows. Рассылается по всем найденным в них адресам электронной почты.
Характеристики зараженных писем
Тема письма
Document
Имя файла-вложения
Document.exe