[DiMMMm]

Котяра,

Цитата:

При инсталляции червь копирует себя в следующие каталоги со следующими именами: %Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe После чего червь регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %Windir%\eksplorasi.pif" При каждой следующей загрузке Windows автоматически запустит файл червя. Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок): [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced] "Hidden"="0" "ShowSuperHidden"="0" "HideFileExt"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" "DisableCMD"="0" Также червь создает следующую папку: %Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX XX – 2 случайные цифры.