Вирусы, распространяются через интернет в виде вложений в зараженные электронные письма. Рассылаются по всем найденным на зараженном компьютере адресам электронной почты.
Черви являются приложениями Windows (PE EXE-файл).
Mabutu при инсталляции червь копирует себя в каталог Windows с произвольным именем:
C:\%windir%<случайное имя>.exe
Червь также создает в каталоге Windows следующие файлы:
C:\%windir%<случайное имя>.dll
C:\%windir%cfg.dat
Затем регистрирует созданный dll-файл в ключе автозагрузки системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
“winupdt”=”RUNDLL32.EXE %WinDir%<случайное имя>.dll”
I-Worm.Mabutu.a позволяет злоумышленнику через IRC-каналы получить информацию с зараженного компьютера через открытый TCP порт 6667
Червь Pawur после запуска может вывести на экран следующее окно:
Заголовок:
Error interno
Текст сообщения:
Documento interno danado, reinstale la aplication asociada para poder visualizarlo
Mas informacion http:/ /www.microsoft.com El programa so cerrara.
При инсталляции червь копирует себя в системный каталог Windows под именем “Command.pif” и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
“Messenger6″=”%WinSysDir%command.pif”
Далее червь создает в системном каталоге Windows и запускает файлы “Paula.pif” и “Svchosl.pif” и создает запись в системном реестре:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
“Svchost”=”%System%svchosl.pif”
После запуска “Paula.pif” создает следующие файлы в системной папке Windows:
m.zip – содержит копию вируса
ss.exe – программа-шутка
sz.exe – не является вредоносной программой
sx.exe и sw.exe – компоненты червя
I-Worm.Pawur.a пытается удалить на зараженном компьютере файлы, имеющие следующие расширения:
asm
asp
bat
bdsproj
bmp
c
css
doc
dot
dpr
gif
h
htm
html
inf
ini
iso
jpeg
jpg
log
mdb
mp3
msi
nfm
nrg
pas
pcx
pdf
php
ppt
rar
reg
rpt
txt
vb
vbs
wav
xls
