Только в нем глюки возникают из ничего, файлы исчезают в никуда,
а объем измеряется в метрах и называется весом.
Добрый день Вам и Вашему компьютеру!
Вирусы не дремлют:
Описание опубликовано 27 апр 2006 Поведение Email-Worm, почтовый червь
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Во вложение зараженного письма червь помещает не свою копию, а HTA-компоненту, которая содержит исполняемый файл червя.
Червь является приложением Windows (PE EXE-файл), имеет
размер около 18 КБ. При инсталляции червь копирует себя с именем csrss.exe в корневой каталог Windows: %Windir%csrss.exe
После чего создает следующие записи в системном реестре:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "Application"="%Windircsrss.exe" Распространение
через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Re: Где пропадаешь? * Re: Как настроение? * Re: Когда ты мне ответишь? * Re: напиши мне * Re: Позвони мне! * Re: Ты где? * Когда мне напишешь? * Привет! Срочно напиши мне! * Привет! Я сегодня жду тебя в сети! * Привет, напиши
мне!!! * Привет, ты где? * Приветик!!! Как настроение? * Приветик, как твои делишки? * Сегодня в интернете будешь?
Текст письма:
Выбирается из списка:
* Как только будешь в интернете напиши мне!!! Кстати программу которую ты просил, я вложил в письмо.... пока! * Напиши мне в аську, окей? Кстати, держи программку, она теперь работает! * Покеда! * Пользуйся, я прикрепил её к письму... * Помнишь ты просил программу, я её прикрепила к письму,
очень полезная, пользуйся. пока..... * Привет! * Привет! Давно от тебя никаких новостей не слышно что-то... Ты где вообще пропадаешь? Я тут файл приложил, давно хотел отправить но всё забывал. Там всё просто, откроешь сразу разберешься. Удачи!!! * Привет! Ты сегодня мне позвонишь???? * Привет, в интернете появился новый вирус, высылаю тебе заплатку... * Привет, вот куда ты всё время пропадаешь??? * Приветик, как у тебя дела? Ты сегодня в интернет зайдешь? * Установи, пока
ещё твой компьютер не заразился. Пока! Напиши мне! * Я завтра к тебе приеду, ок? Ты во сколько будешь дома? * Я уже не могу ждать! Пока думаешь, посмотри программку, которую тебе прислала, ну как? Правда, здорово?
Имя файла-вложения:
Во вложение зараженного письма червь помещает не свою копию, а полиморфный HTA-компонент, который содержит исполняемый файл червя. После запуска вложенного файла создается файл с именем ntldr.exe в корне диска C: и запускается на исполнение. Созданный
файл является копией червя.
1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows). 2. Удалите из системного реестра следующие записи: