Win32.HLLM.Wukill
(W32/Wukill.worm.gen, Worm/Rays, Worm:Win32/Wukill.F@mm, I-Worm/VB.KU, TR/Crypt.CFI.Gen, Email-Worm.Win32.Rays.c, Email-Worm.Win32.Rays, Win32.Wukill.E@mm, WORM_WUKILL.AB, Win32.Wukill.A@mm, Email-Worm.Win32.Runouce.b, Virus.Win32.Bobax.Z, Win32/Wukill.J@mm, W32/Generic.m, Worm:Win32/Wukill.Z@mm, W32/Tufik.worm.gen, Win32/Kriz.4050, I-Worm/VB.GJ, WORM_WUKILL.GEN, I-Worm/Wukill.F, Worm/Rous.A, Email-Worm.Win32.Rays.b)
Описание добавлено:
2006-01-31
Тип вируса:
Почтовые черви массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: может быть 23 552 байт, 55 804 байта, 53 765 байт, 49 152 байта, 65 024 байта, 49 411 байт
Упакован: могут быть упакованы UPX
Техническая информация
При своем запуске выводит сообщение "Warning. This File Has Been Damage"
Создаёт свои копии в c:\%WinDir%\Mstray.exe (23 552 байта), c:\%WinDir%\MShelp.exe,
c:\comment.htt, содержащий скрипт, написанный на языке Visual Basic Script. Определяется Dr.Web как Trojan.AppActXComp.
Помещает в файл desktop.ini строку HTMLInfoTipFile=file://Comment.htt
Червь отслеживает активных окон приложений - если зайти с его помощью в каталог с копией червя, то он скопирует себя в другую папку с другим именем.
Модифицирует значение ключа в системном реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\
"fullpath" = 1
Это делается для того, чтобы Explorer отображал в заголовках активных окон полный путь к файлу.
Блокирует открытие системных и скрытых файлов, устанавливая значение ключа
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"=0
Создаёт файл Winfile.exe на дисках A:\, C:\, D:\, E:\ в случае их доступности.
Адреса для своей рассылки ищет, сканируя адресную книгу MS Outlook.
Рассылаемые сообщения имеют вид:
Тема: MS?DOS????
Тело письма: ???????? MS-DOS????????????????
Вложение: MShelp.exe
