 |
| 
Новый вирус (ну, куда же мы без вирусов). Точнее, троянский конь, очень похожий по принципу действия
на уже известный happy99. На этот раз вирус отвечает на приходящие на зараженный компьютер письма,
посылая ответ примерно следующего содержания:
"I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.". С письмом посылается файл "zipped_files.exe",
содержащий собственно вирус. Далее понятно - пользователь нажмает "вложения-открыть", вирус запускается...
Вирус ищет на локальных и сетевых дисках (от C: до Z:) файлы с расширениями .doc, .xls и .ppt,
а также .c, .cpp, .h и .asm, и убивает их, усекая до нулевого размера. В win.ini создается строчка
"run=C:\WINDOWS\SYSTEM\Explore.exe" (в WinNT, соответственно, создается строка
"run = "c:\winnt\system32\explore.exe"" в реестре ("HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows").
Соответсвенно, в \windows\system или system32, создается файл explore.exe размером 210432 байта. Информация
взята с CERT, по мере поступления
новых данных будет обновляться (там, на CERT) - следите, если интересно.
| |
| |
