Компьюлента. 6 июня 2003 года, 16:57

Как сообщает Sophos, при запуске исполняемого файла, содержащегося во вложении, вирус записывает в папку запуска исполняемый файл с именем из четырех произвольных символов и расширением .EXE (размер 72192 байта). Это копия кода вируса. Кроме того, вирус заражает исполняемые файлы системных программ ScanDisk, RegEdit, WMPLayer, Notepad и WinHelp, а также исполняемые файлы другого ПО, в том числе, антивирусов, почтовых программ, архиваторов и других. В системную папку также помещается файл с именем из семи произвольных символов и расширением DLL - это утилита, отслеживающая нажатия клавиш на клавиатуре. Помимо этого, вирус пытается приостановить работу антивирусных программ.

После этого вирус открывает для проникновения извне порт 1080, и таким образом, система становится доступной для вторжения. Хакер может дистанционно выполнять следующие действия: получать пароли доступа, выполнять на удаленной системе произвольный код, удалять, копировать файлы, записывать в файлы, просматривать список процессов и прекращать работу процессов, а также получать информацию о системе. Помимо всего описанного выше, хакер может открыть на удаленной системе 80-й порт и через него связаться со встроенным в код вируса веб-сервером (предположительно на базе Apache 1.3.26). После этого доступ к файлам на винчестере компьютера-жертвы становится еще проще.

На скриншоте - доступ к зараженному компьютеру через встроенный веб-сервер.