Интернет-червь Calil изменяет реестр и рассылается средствами Outlook
"Лаборатория Касперского" сообщила об обнаружении нового интернет-червя Calil, распространяющегося через интернет как вложение в инфицированных e-mail-сообщениях. Отсылаемые червём сообщения имеют следующие свойства:Тема: FW:FW: LILAC project video attach
Имя вложения: LILAC_WHAT_A_WONDERFULNAME.avi
Размер вложения: 12208 байт.
Текст сообщения: Things that the govt. dont want you to know
При первом запуске в системе червь пытается скопировать себя по следующим путям:
c:\win98\temp\LILAC_WHAT_A_WONDERFULNAME.avi
c:\windows\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
c:\win95\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
c:\winnt\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
c:\winme\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
c:\winxp\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
Червь также настраивает свою копию для автоматической загрузки при старте Windows, записывая следующее значение реестра:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Lilac=(один из указанных выше путей)
Затем червь показывает ложное сообщение об ошибке. Calil также получает e-mail-адреса из адресных книг Windows и Outlook, и отсылает по этим адресам заражённые сообщения. Для отсылки писем червь использует функции Outlook.
Вирус также изменяет информацию о владельце системы, записывая в реестр следующие значения:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion
RegisteredOwner=xEnOcrAtEs
LegalNoticeCaption=Owned by:
LegalNoticeText=Owned by: xEnOcrAtEs
Источник:
по материалам сайта VirusList.Ru