Description
??????????? - интернет червь, поражающий компьютеры под управлением операционной системы Windows XP, хотя обладает возможностью распространяться на всех других ОС семейства Windows.
Распространяется по сети Интернет используя уязвимость в сервисе LSSAS (подробнее об этом читайте в бюллетене Microsoft MS04-011 ).
В поисках уязвимых компьютеров червь сканирует сеть и найдя уязвимую машину, копирует себя в системную директорию в виде файла со случайным названием и расширением .exe и прописывает путь к этому файлу в ветках реестра
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\ Run
Самостоятельно запустившись на инфицированном компьютере, червь помещает еще один файл в директорию Temp и внедряет его в адресное пространство Explorer.exe, что может привести к отказу в работе этого сервиса. Это файл в формате DLL длиной 17,920 байт, в котором содержится основные функции червя.
Чтобы избежать повторного заражения системы своими копиями червь создает семафор 00:24:03:54A9D.
Инфицированные червем компьютеры могут быть использованы злоумышленниками в качестве релеев для рассылки спама.
