Статьи о вирусах
Вирус-червь, распространяющийся по интернету при помощи пейджера MSN Messenger. Написан на Visual Basic и имеет размер около 56КБ, упакован ASP. Размер распакованного файла - около 306КБ.
Инсталляция
После запуска червь копирует себя в системный каталог Windows со следующими именами:
* %System%\IEXPLORE.EXE
* %System%\explorer.exe
* %System%\userinit32.exe
Также червь копирует себя в корневой каталог Windows с именем "rundll32.exe":
* %WinDir%\rundll32.exe
Вирус создает в системном каталоге Windows лог файл с именем "bsfirst2.log":
* %System%\bsfirst2.log
Затем червь регистрирует свою копию в ключах автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MMSystem"="%Windir%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%System%\userinit32.exe"
На компьютерах, работающих под управлением операционной системы Windows 95/98/ME, червь изменяет секцию в файле "system.ini":
[boot]
Shell = %System%\explorer.exe
Распространение через MSN
При запуске червь получает доступ к списку контактов MSN Messenger и рассылает себя с именем "funny.exe" по всем найденным адресам.
Действие
Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на IP-адрес 222.89.98.219
детально! Только у нас: от аллергии, а еще гайморит лекарства значительно дешевле! Только летом!; Модная одежда купить куртка женскую www.Wildberries.Ru; необходимо. Гостиница империал парк отель spa. Только сейчас; Вся информация об автомобиле Dodge Jorney от компании Автолайт.; Таблички. Офисные пластиковые таблички на заказ.