Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 28160 байт, упакован UPX. Размер распакованного файла — около 57 KБ.
При инсталляции червь копирует себя с именем wmedia16.exe в системный каталог Windows:
Затем регистрирует этот файл в ключе автозапуска системного реестра:
После чего оригинальный запускаемый файл удаляется.
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb asp dbx htm php pl sht tbb txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
.aero .gov .mil accoun AccountRobot acketst admin alert anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact example feste fethard fido foo. fraud fsf. gnu gold-certs google google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spm submit support syma tanford.e the.bat unix unix usenet utgers.ed webmaster webmoney you your
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Имя отправителя включает в себя один из следующих вариантов:
Выбирается из списка:
Выбирается из списка:
Выбирается из списка:
Вложения могут иметь одно из расширений:
Червь проверяет наличие установленного на машине P2P-клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
0day_patch dcom_patches icq5 lsas_patches msblast_patches office_crack skype_video strip-girl4.0c trillian_crack_all winamp5 xp_activation
с расширением из списка: