IM-Worm.Win32.Aimes.a

IM-Worm.Win32.Aimes.a («Лаборатория Касперского») также известен как: Malware.d (McAfee), WORM_AIMDES.A (Trend Micro), Worm/Aimes.a (H+BEDV), Win32.Worm.Aimes.A (SOFTWIN), Worm.Aimdes.A (ClamAV), W32/Aimdes.A.worm (Panda), Win32/Aimdes.A (Eset)

Вирус-червь, распространяющийся по сетям интернет при помощи интернет-пейджера AOL Instant Messenger.

Написан на Visual Basic и имеет размер около 33КБ.

Инсталляция

После запуска червь копирует себя с именами «msVBdll.exe» и «MsVBdll.pif» в корневой каталог Windows и каталог автозагрузки:

* %Windir%\msVBdll.exe

* %User Profile%\Start Menu\Programs\Startup\msVBdll.exe

* C:\Windows\Msvbdll.pif

Затем червь регистрирует себя в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "MsVBdll"="C:\Windows\MsVBdll.pif"
  

Aimes.a создает следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений Windows:

  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Policies\System]
   "DisableTaskMgr"="dword:00000001"
   "DisableRegistryTools"="dword:00000001"
  
  [HKLM\Software\Microsoft\security center]
  [HKCU\Software\Microsoft\security center]
   "FirewallDisableNotify"="dword:00000001"
   "UpdatesDisableNotify"="dword:00000001"
   "AntiVirusDisableNotify"="dword:00000001"
  
  [HKLM\Software\Policies\Microsoft\Windows\
  WindowsUpdate\AU]
   "NoAutoUpdate"="dword:00000001"  

После запуска червь может демонстрировать на экране следующие окна:

Распространение через AOL Instant Messenger

При запуске червь получает доступ к списку контактов AOL Instant Messenger и рассылает себя по всем найденным адресам.

Текст сообщения: * Hey whats up!! look what I did to my hair...lol!!

Имя вложения:

* C:\Windows\picture.pif

Действие

Червь пытается завершить следующие процессы:

* lsass.exe

* svchost.exe