Червь, создающий свои копии на съемных носителях информации.
Инсталляция
После запуска червь копирует свой исполняемый файл в системный каталог Windows:
%System%\ssmicrco.scr
Распространение
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
:\boot.pif
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
:\autorun.inf
где
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
Червь останавливает и удаляет службу "Windows Update".
Также скачивает файлы по следующим ссылкам:
http://www.koreaarc.com/*****/www.rar
http://www.koreaard.com/*****/ppp.rar
и сохраняет их соответственно в системный каталог Windows:
%System%\xtemp1.exe
%System%\xtemp2.exe
После чего скачанные файлы запускаются на исполнение.
На момент создания описания указанные ссылки не работали.
Также червь создает файл, в котором ведет протокол своей работы:
%System%\config\userevent.evt
И создает следующие папки:
%WinDir%\web\webpf
%WinDir%\web\webdc
%WinDir%\web\webpt
%WinDir%\web\webhp
%WinDir%\web\webxs