Worm.Win32. RussoTuristo.b

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 53326 байт. Упакован UPX. Размер распакованного файла — около 130 КБ. Написан на Delphi.

Инсталляция

При запуске червь копирует себя в каталог «%WinDir%\cursors» под именем «services.exe»:

%WinDir%\Cursors\services.exe

С целью сокрытия расширений файлов устанавливаются следующие значения в реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:0x00000000"
"HideFileExt" = "dword:0x00000001"
"Hidden" = "dword:0x00000000"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:0x00000001"

Также вирус отключает использование системных утилит:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:0x00000001"
"DisableRegistryTools" = "dword:0x00000001"

И добавляет значение в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]    
"Service" = "%WinDir%\Cursors\services.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл червя.

Деструктивная активность

Червь копирует свой исполняемый файл в каждую найденную на всех жестких дисках папку пользователя под именем файла, совпадающим с именем папки.

При этом каждая копия червя имеет иконку папки.