Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 71168 байт.
Инсталляция
При запуске червь создает следующую папку:
%System%\ace
Вирус извлекает в свою рабочую папку файл и запускает его на исполнение:
WinTask.exe
Данный файл имеет размер 65586 байт, детектируется антивирусом Касперского как Trojan.Win32.Enfal.d.
С целью автоматического запуска при последующем стартах системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "<путь и имя к исполняемому файлу червя>"
А также устанавливает следующее значение ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 0
Деструктивная активность
Червь производит на всех разделах жесткого диска поиск файлов с расширениями:
.rar
.rtf
.mdb
.txt
.xls
.ppt
.doc
При нахождении подобных файлов вредоносная программа копирует их в папку «%System%\ace\temp». Затем извлекает из своего тела утилиту для архивирования файлов:
%System%\NtApi.exe
И с ее помощью архивирует содержимое указанной папки. Заархивированные файлы сохраняются в папку:
%System%\ace\udis
Архивы имеют расширение «.uda» и имена, соответствующие именам папок, в которых были найдены исходные файлы с вышеназванными расширениями.
Распространение
Червь копирует свой исполняемый файл с именем «Netsvcs.exe» в корневые папки всех логических дисков и устанавливает для него атрибуты «Скрытый» и «Системный». Вирус создает в корневых папках разделов файл «autorun.inf», который при открытии разделов в «Проводнике» Windows запускает исполняемый файл червя. Также червь создает файл «thumbs.db» (в том же месте, что и «autorun.inf») и записывает в него свои настройки.
На сьемных дисках червь создает папку с именем:
System Volume Information
И копирует в нее содержимое папки «%System%\ace\udis», т.е. архивы с найденными на компьютере жертвы документами.