Trojan-Downloader.Win32.FraudLoad.vote

Технические детали

Интернет-червь распространяется в письмах электронной почты, используя для их рассылки программу Microsoft Outlook. Переписывает все HTML-файлы на компьютере, а при следующей перезагрузке пытается уничтожить все данные в каталоге Windows и на диске C.

Вирус приходит на удаленные компьютеры в виде электронного письма:

Вирус-червь начнет свою работу только в том случае, если дважды кликнуть на вложение. Если это произошло, то последовательность дальнейших действий вируса такова: сначала рассылаются инфицированные послания всем адресатам из Microsoft's Outlook Address Book. Далее, на экране появляются два окна Интернет-браузера. При этом стартовая страница Internet Explorer меняется на us.f1.yahoofs.com.

Червь создает два VBS-файла. Первый из них, "MixDaLaL.vbs", попадает в папку Windows и сразу же запускается. Файл содержит скритп-программу, которая инициирует поиск всех файлов, имеющих расширение HTM и HTML, на сменных и локальных жестких дисках. Обнаружив эти файлы, вирус их переписывает, заменяя все содержимое на текст:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You

Второй VSB-файл червь создает в системном каталоге Windows под именем "ZaCker.vbs". Он регистрируется в секции автозапуска системного реестра Windows и автоматически начнет свою работу при перезапуске компьютера. Когда Windows будет запущен в следующий раз, червь удалит все файлы из директории Windows, а в AUTOEXEC.BAT запишет команду, которая уничтожит все данные на диске С. Затем на экран выведется сообщение:

И наконец, червь попытается перезагрузить компьютер. После перезагрузгрузки все данные могут быть потеряны безвозвратно.