Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде.
name="doc3">Деструктивная активность |
Во время открытия зараженной веб-страницы происходит расшифровка и выполнение кода вируса. Для своего запуска вирус использует уязвимость Microsoft VM ActiveX Component ( MS00-075 ).
Вирус может запускаться и в момент открытия пользователем папок в проводнике. Если в проводнике включен режим веб-интеграции, то автоматически во время навигации по папкам происходит выполнение скриптов, которые находятся в файлах folder.htt.
После запуска вирус выполняет следующие действия:
Другие названия |