Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 53326 байт.
Инсталляция
При запуске червь копирует себя в каталог «%WinDir%\cursors» под именем «services.exe»:
%WinDir%\Cursors\services.exe
С целью сокрытия расширений файлов устанавливаются следующие значения в реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:0x00000000"
"HideFileExt" = "dword:0x00000001"
"Hidden" = "dword:0x00000000"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:0x00000001"
Также вирус отключает использование системных утилит:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:0x00000001"
"DisableRegistryTools" = "dword:0x00000001"
И добавляет значение в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Service" = "%WinDir%\Cursors\services.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает файл червя.
Деструктивная активность
Червь копирует свой исполняемый файл в каждую найденную на всех жестких дисках папку пользователя под именем файла, совпадающим с именем папки.
При этом каждая копия червя имеет иконку папки.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!