Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\services.exeДля автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinDir%\services.exe"
Распространение
В теле вредоносной программы содержится встроенный спам-бот, который производит рассылку спама с зараженного компьютера пользователя. К тексту письма вредоносная программа прикрепляет свой исполняемый файл. Данные для рассылки спама вредоносная программа скачивает со следующего адреса:
http://91.207.4.250/s_alive.phpи сохраняет их во временном каталоге ОС Windows:
%Temp%\Где.tmp
После чего использует скачанные данные для формирования и рассылки спама. Спам-письма программа рассылает по протоколу SMTP с использованием следующих почтовых серверов:
mx.hotmail.com
mx.yahoo.com
mx.aol.com
mx.google.com
mx.mail.com
name="doc3">
Деструктивная активность
С помощью системной утилиты netsh отключает системный брандмауэр
netsh firewall set opmode disableА также изменяет следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = 4
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 0
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 0