Бесплатные антивирусы

Другие модификации: o

Червь, распространяющийся через интернет в виде вложений в электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows EXE-файл. Размер зараженных файлов существенно варьируется. Упакован при помощи UPX.
Запуск

При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем "alsys.exe":
%System%\alsys.exe

После этого червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe..."

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe..."

Таким образом, при каждой следующей загрузке Windows автоматически запустит файл червя.

Червь создает в своем рабочем каталоге файл с произвольным именем. (Троянская программа)

Также червь создает следующие файлы в системном каталоге Windows:
%System%\wincom32.ini %System%\wincom32.sys

Файл wincom32.sys является руткит-библиотекой, загружается как драйвер службы и работает на уровне ядра. Программа предназначена для скрытия файлов червя на жестком диске и записей в системном реестре.

Для определения своего присутствия в системе данной вредоносной программой создается уникальный идентификатор «klllekkdkkd».

Червь изменяет следующие записи системного реестра с целью блокировки "Windows Firewall/Internet Connection Sharing (ICS)":

[HKLM\System\CurrentControlSet\Services\SharedAccess]
[HKLM\System\ControlSet001\Services\SharedAccess]
"Start"="4"

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Действие

Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
regedit.exe
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
spybot
taskmgr
troja
viru
vsmon
zonea

В случае обнаружения на зараженном компьютере файлов с расширениями .exe и .scr червь копирует себя в каталог, в котором был найден файл с произвольным именем с атрибутом скрытый (hidden): .t. После чего заражает найденный файл, добавляя в него свой код и изменяя точку входа таким образом, чтобы при запуске исполняемого файла сначала запускалась копия червя.
Удаление
Перезагрузить компьютер в «безопасном режиме».
Удалить оригинальный файл червя.
Удалить следующие файлы:
%System%\alsys.exe %System%\wincom32.ini %System%\wincom32.sys
Удалить все копии червя.
Удалить следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe…"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe…"

Источник информации stopvirus.ru