Технические детали
Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт.
Зараженные письма содержат в себе HTML-ссылку:
<HTML><HEAD></HEAD><BODY bgColor=#ffffff><DIV><FONT face=Arial size=2><BR>
<A href="http://drs.yahoo.com/[домен получателя]/NEWS/
*http://www.security-warning.biz/personal6/maljo24/
www.YAHOO.com/#http://drs.yahoo.com/[домен получателя]/NEWS">
http://drs.yahoo.com/[домен получателя]/NEWS
</A></FONT></DIV></BODY></HTML>
Внешний вид ссылки в email-клиенте:
При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец".
Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader.
Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". Также "троянец" изменяет стартовую страницу Internet Explorer на сайт www.google.com.super-fast-search.apsua.com.
Основной компонент червя представляет собой PE-файл, размером около 150 КБ. Написан на Delphi, упакован ASPack.
При инсталляции в систему червь создает в системном реестре ключ:
[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main]
"Wh" = ?
В дальнейшем данный ключ проверяется червем и в зависимости от собственных значений происходит попытка открытия сайта pixpox.com. Таким образом червь осуществляет функцию Clicker, увеличивая на данном сайте счетчик посещений.
Также червь создает собственный toolbar в Internet Explorer.
Червь рассылает письмо со ссылкой по всем адресам электронной почты, найденным в адресной книге MS Outlook.
Для отправки писем червь использует указанный в системе SMTP-сервер.
RSS-каналы
