Каллер: червь распространяется по MSN
Червь Culler.A в первую очередь пытается распространяться через мессенджер MSN Messenger и пытается отключить приложения безопасности.
Червь Culler.A делает недоступным диспетчер задач Windows после создания некоторых файлов и внесения изменений в реестр. После этого он пытается остановить работу приложений безопасности и тем самым ослабить защиту компьютеров.
Culler.A проверяет зараженные компьютеры на предмет доступности приложения MSN Messenger, и если да, то пытается отправить через него как можно больше сообщений. В их текст вставляется ссылка, указывающая на вредоносный сайт, с которого загружаются файлы вредоносной программы.
При запуске червь Culler.A выполняет следующие действия:
1. Создайте следующие файлы:
%System%\Avconsol.exe
%System%\zap.exe
%System%\hide32.exe
%System%\ttt.exe
2. Добавьте следующие записи в базу данных регистрации:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”AVantivirus” = “%System%\Avconsol.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»Servicewin» = «%System%\Hide32.exe»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»System» = «%System%\Zap.exe»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»WinService» = «%Service%\Ttt.exe»
3. Изменяет следующую запись в регистрационной базе данных:
HKEY_CURRENT_USER\software\microsoft\windows\currentve rsion\policies\system”disabletaskmgr” = “1”
Это сделает диспетчер задач Windows недоступным.
4. Закройте приложения безопасности.
5. Отображает диалоговое окно следующего содержания:
«Компонент «COMDLG32.OCX» или одна из его зависимостей зарегистрирована неправильно, файл отсутствует или недействителен».
6. Пытаюсь загрузить некоторые веб-страницы.
7. Отправляет сообщения, содержащие ссылки на вредоносные веб-сайты, через MSN Messenger.