Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 124928 байт.
Инсталляция
При запуске червь создает следуюшие файлы:
%System%\rasppowr.dll
%System%\rasppowr.exe
%System%\rasppowr.z1
%System%\rasppowr.dat
Также червь создает следующий ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rasppowr]
"DllName" = "%System%\rasppowr.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Распространение
Данная вредоносная программа распространяется при помощи ICQ. Рассылаемые сообщения включают текст «Check this:» или «My party pics:», после которого следует ссылка на исполняемый файл последней модификации Warezov. После открытия данной ссылки в веб-браузере пользователю предлагается загрузить файл с именем «photo.pif». При запуске скачанного файла происходит инсталляция червя в систему. Деструктивная активность
Червь отключает следующее антивирусное программное обеспечение и межсетевые экраны:
Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
McAfee.com Personal Firewall
Kerio WinRoute
Также червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ с последующим запуском скачанных файлов на исполнение.