Варианты тем для писем: Привет,какие новости? Ты сегодня ко мне приедешь? Я тебя сегодня видела? Варианты тел писем: Приветик, как у тебя дела?... Ты сегодня в интернете будешь? Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве тебе выслала, пока) Ксюха Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать... Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду! Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась... Держи архив с документом, позвоним не сегодня, пока. В качестве вложения создается .cab архив в котором находится дроппер основного тела вируса. Имя файла в архиве начинается на "new", "me","you","cool" или "Re" и имеет двойное расширение. Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе " .cpl". Пример "me.doc .cpl" внутри архива me.cab Запуск вируса. Копирует себя в системную папку с именем %systemroot%csrss.exe (настоящий csrss.exe находится в %systemroot%system32csrss.exe) Свою автозагрузку при старте системы обеспечивает записью в реестре: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe Debugger = "C:WINDOWScsrss.exe" Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe. Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows" Основная часть вируса в процессе svchost.exe сканирует все доступные диски в поисках почтовых адресов для рассылки. Для этого он использует файлы со следующими расширениями: .adb, .asp, .cfg, .cgi .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, .dhtml Извлекаемые адреса не должны содержать подстрок: Извлекаемые адреса не должны содержать подстрок: "@example." "Mailer-Daemon@" "-0" "2003" "@subscribe" ".00" "2004" "kasp" "@." "2005" "admin" "---" "2006" "icrosoft" "abuse" "@hotmail" "support" "panda" "@msn" "ntivi" "cafee" "@microsoft" "unix" "spam" "rating@" "bsd" "pgp" "f-secur" "linux" "@avp." "news" "listserv" "noreply" "update" "certific" "local" ".qmail" "torvalds@" "root@" ".gif" "sopho" "postmaster@" "anyone@" "@foo" ".0" "bugs@" "@iana" ".1" "contract@" "free-av" ".2" "feste" "@messagelab" ".3" "gold-certs@" "winzip" ".4" "help@" "google" ".5" "info@" "winrar" ".6" "nobody@" "samples" ".7" "noone@" "spm111@" ".8" "0000" ".." ".9" Действия. При старте пытается скачать и исполнить непосредственно .exe файл http: // 85.249.23.43 / 0.exe или получить зашифрованный список адресов для дальнейшего скачивания: http: // 85.249.23.35/m2/ g.php http: // 207.46.250.119/g/ m.php http: // 84.22.161.192/s/ f.php В случае обнаружения виртуальной машины вирус открывает сайт www.nauy.com и завершает свою работу. Другие названия этого вируса: (Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e, Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j, Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE, Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B, Win32.Scano.E@mm.VBS , Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan, Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK)

Каждый человек ни враг тебе, ни друг, но учитель (Дзен-йога)