Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный каталог Windows:
%System%\drivers\spoclsv.exe
С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Svcshare" = "%System%\drivers\spoclsv.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Svcshare" = "%System%\drivers\spoclsv.exe"
Деструктивная активность
Червь заражает файлы с расширениями «.exe», «.scr», «.pif», «.com» на всех фиксированных дисках — за исключением файлов в папках, имена которых содержат следующие строки:
WINDOWS Winnt Recycled Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone
Также не подвергаются инфицированию файлы, размер которых больше 10 млн. 485 тыс. 760 байт.
При заражении файлов червь записывает свой исполняемый файл впереди их оригинального содержимого.
Также вирус пытается заразить файлы, находящиеся в сетевых папках. Для этого он пытается подключиться к удаленным компьютерам в сетевом окружении, используя следующие имена параметры:
Имя пользователя
Administrator Guest Admin Root
Пароль
1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 123456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer 520 super 123asd Ihavenopass godblessyou enable xp 2002 2003 2600 alpha 110 111111 121212 123123 1234qwer 123abc 007 a aaa patrick pat administrator root sex god foobar secret test test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123
Червь копирует свой исполняемый файл в корневые каталоги всех съемных дисков под именем «setup.exe» и создает файл «autorun.inf», содержащий ссылку данный файл. Таким образом, при просмотре пользователем содержимого съемного диска при помощи «Проводника» Windows исполняемый файл червя запускается автоматически.
Также вирус останавливает и удаляет следующие службы:
Schedule Sharedaccess RsCCenter RsRavMon KVWSC KVSrvXP Kavsvc AVP Kavsvc McAfeeFramework McShield McTaskManager Navapsvc Wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc
И удаляет параметры из ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] RavTask KvMonXP Kav KAVPersonal50 McAfeeUpdaterU Network Associates Error Reporting Service ShStatEXE YLive.exe Yassistse
По следующей ссылке червь скачивает список файлов, предназначенных для загрузки из сети Интернет:
http://www.ac86.cn/****/mm.txt
Все скачанные файлы сохраняются в корневой каталог Windows («%WinDir%») и запускаются на исполнение.