Technické detaily
Tento červ se šíří přes internet pomocí služby MSN Messenger. Je napsán v jazyce Visual Basic a je přibližně 160 kilobajtů ve velikosti. Červ obsahuje backdoor program, Backdoor.Win32.Rbot.fy které bude extrahovat od sebe a spustit na počítači oběti.
Instalace
Jakmile spuštění červ zkopíruje do kořenového adresáře (zpravidla C: \) v rámci jednoho z těchto názvů:
Drunk_lol.pif
love_me.pif
naked_party.pif
sexy_bedroom.pif
Webcam_004.pif
Červ vytváří soubor v adresáři systému Windows, která bude mít jedno z jmen ze seznamu níže:
% System% \ adaware.exe
% System% \ lexplore.exe
% System% \ VB6.EXE
% System% \ win32.exe
Tento soubor obsahuje backdoor program.
Červ pak registruje tento soubor v systémovém registru:
[HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
[HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices]
[HKLM \ Software \ Microsoft \ Ole]
"Lexplore" = "lexplore.exe"
Šíření přes ICQ
Po spuštění se červ přistupuje MSN Messenger seznamu kontaktů a pošle se vztahuje na všechny kontakty v rámci jednoho z těchto názvů:
Drunk_lol.pif
love_me.pif
naked_party.pif
sexy_bedroom.pif
Webcam_004.pif
Užitečná
Červ zabrání následující soubory z prováděn:
cmd.exe
taskmgr.exe
Červ se také zabránit uživatelům v přístupu k funkcím přes kontextovou nabídku pravého tlačítka myši.
Žádné komentáře:
Okomentovat