Geser
12.10.2004, 20:52
Вирус-червь. Распространяется по локальным сетям через открытые сетевые ресурсы. Имеет размер 17920 байт, упакован ASPack. Размер распакованного файла около 25 КБ.
Признаком заражения компьютера является наличие файла "srv32.exe" в корневом (%windir%) каталоге Windows.
Размножение
При запуске червь копирует себя в каталог Windows с именем "srv32.exe" и регистрирует данный файл в ключе автозапуска:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Srv32"="%windir%\Srv32.exe"
Червь также создает дополнительный ключ в реестре, для идентификации своего присутствия в системе:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV 32]
Червь пытается скопировать себя в корневой каталог Windows на другие компьютеры в локальной сети, если на них имеются открытые сетевые ресурсы. Затем он модифицирует файл "win.ini" на удаленном компьютере, таким образом, чтобы получить управление при следующем запуске системы.
Прочее
Червь пытается соединиться с сайтом украинского оператора мобильной связи (http://sim-sim.com) и оправить SMS с указанием IP-адреса зараженного компьютера на номер +7050196ХХХХ.
http://www.viruslist.com/viruslist.html?id=146018420
Признаком заражения компьютера является наличие файла "srv32.exe" в корневом (%windir%) каталоге Windows.
Размножение
При запуске червь копирует себя в каталог Windows с именем "srv32.exe" и регистрирует данный файл в ключе автозапуска:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Srv32"="%windir%\Srv32.exe"
Червь также создает дополнительный ключ в реестре, для идентификации своего присутствия в системе:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV 32]
Червь пытается скопировать себя в корневой каталог Windows на другие компьютеры в локальной сети, если на них имеются открытые сетевые ресурсы. Затем он модифицирует файл "win.ini" на удаленном компьютере, таким образом, чтобы получить управление при следующем запуске системы.
Прочее
Червь пытается соединиться с сайтом украинского оператора мобильной связи (http://sim-sim.com) и оправить SMS с указанием IP-адреса зараженного компьютера на номер +7050196ХХХХ.
http://www.viruslist.com/viruslist.html?id=146018420