Бесплатные антивирусы

Другие модификации: A

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Имеет размер 50583 байта. Упакован при помощи UPX.

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера начиная с последнего.
Запуск

При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем alsys.exe:
%System%\alsys.exe

Червь создает в своем рабочем каталоге файл с произвольным именем и расширением EXE и запускает его.

После чего червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

То есть при каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в системном каталоге Windows:
%System%\wincom32.ini %System%\wincom32.sys

Также червь изменяет следующую запись системного реестра с целью блокировки Windows Firewall/Internet Connection Sharing (ICS):

[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"

Действие

Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea

Червь использует руткит-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в системном реестре.
Удаление
Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выберать пункт Safe Mode в меню загрузки Windows).
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить следующие файлы:
%System%\alsys.exe %System%\wincom32.ini %System%\wincom32.sys
Удалить следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

Источник информации stopvirus.ru