Каллер: червь распространяется по MSN

Червь Culler.A в первую очередь пытается распространяться через мессенджер MSN Messenger и пытается отключить приложения безопасности.

Червь Culler.A делает недоступным диспетчер задач Windows после создания некоторых файлов и внесения изменений в реестр. После этого он пытается остановить работу приложений безопасности и тем самым ослабить защиту компьютеров.

Culler.A проверяет зараженные компьютеры на предмет доступности приложения MSN Messenger, и если да, то пытается отправить через него как можно больше сообщений. В их текст вставляется ссылка, указывающая на вредоносный сайт, с которого загружаются файлы вредоносной программы.

При запуске червь Culler.A выполняет следующие действия:

1. Создайте следующие файлы:
%System%\Avconsol.exe
%System%\zap.exe
%System%\hide32.exe
%System%\ttt.exe

2. Добавьте следующие записи в базу данных регистрации:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”AVantivirus” = “%System%\Avconsol.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»Servicewin» = «%System%\Hide32.exe»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»System» = «%System%\Zap.exe»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»WinService» = «%Service%\Ttt.exe»

3. Изменяет следующую запись в регистрационной базе данных:
HKEY_CURRENT_USER\software\microsoft\windows\currentve rsion\policies\system”disabletaskmgr” = “1”
Это сделает диспетчер задач Windows недоступным.

4. Закройте приложения безопасности.

5. Отображает диалоговое окно следующего содержания:
«Компонент «COMDLG32.OCX» или одна из его зависимостей зарегистрирована неправильно, файл отсутствует или недействителен».

6. Пытаюсь загрузить некоторые веб-страницы.

7. Отправляет сообщения, содержащие ссылки на вредоносные веб-сайты, через MSN Messenger.