IM-Worm.Win32. VB.ev

Червь, распространяющийся через Интернет при помощи систем обмена мгновенными сообщениями.

Червь, распространяющийся через Интернет при помощи систем обмена мгновенными сообщениями. Программа является приложением Windows (PE EXE-файл). Имеет размер 57344 байта. Написана на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в различные каталоги под следующими именами:

%System%\Fun.exe
%WinDir%\dc.exe
%WinDir%\SVIQ.EXE
%WinDir%\inf\Other.exe
%System%\WinSit.exe
%System%\config\Win.exe
%WinDir%\Help\Other.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dc2k5" = "%WinDir%\\SVIQ.EXE"
"Fun" = "%System%\\Fun.exe"
"dc" = "%WinDir%\\dc.exe"

Деструктивная активность

Червь пытается скачать файлы "ND.txt" и "NWB.txt", расположенные по следующим адресам:

http://dung*****googlepages.com/ND.txt
http://dung*****googlepages.com/NWB.txt

На момент создания описания данные ссылки не работали.

Кроме того, червь рассылает ссылки на свой исполняемый файл при помощи программы "Yahoo! Messenger".