Wirus Pawur

Error interno

Documento interno danado, reinstale la aplication asociada para poder visualizarlo

Mas informacion http:/ /www.microsoft.com El programa so cerrara.

Robak kopiuje się do folderu \Windows\System z nazwą Command.pif i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

'Messenger6' = "%System%\command.pif"

Następnie szkodnik tworzy w folderze \Windows\System pliki Paula.pif oraz Svchosl.pif i uruchamia je. Dla drugiego pliku tworzony jest klucz rejestru systemowego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"Svchost"="%System%\svchosl.pif"

Po uruchomieniu pliku Paula.pif w folderze \Windows\System tworzone są następujące pliki:

ss.exe

sz.exe

sx.exe

sw.exe

m.zip

Pierwszy plik to "żart", drugi zawiera niegroźny program, trzeci i czwarty to składniki robaka, natomiast piąty plik zawiera kopię szkodnika. Adresy potencjalnych ofiar pobierane są z zainfekowanego komputera. W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Temat maila z wirusem zaczyna się od "re" i ma nazwę po hiszpańsku. Jest wybierany z poniższych możliwości:

re:Crees que puede ser verdad?

re:Amor verdadero

re:xD no me lo puedo creer!!

re:Dejate de rollos y viv

re:Psicolog

re:Neptuno y Mercurio

re:La Luna

re:Voodoo un tanto ps...

re:Eso con queso rima con...xD

re:Como el aire...

Treść maila również jest po hiszpańsku, a nazwa załącznika wybierana jest z poniższych możliwości:

D-Incognito.zip

Love-Me.zip

EL_rechazo.zip

My life(Mi vida).zip

Psiquico-Mix.zip

Planetario.zip

Moon(Luna).zip

Voodoo!.zip

Rimaz.zip

Para-Brisas.zip

Robak próbuje usuwać z dysku pliki o rozszerzeniach:

.asm .asp .bat .bdsproj .bmp .c .css .doc .dot .dpr .gif .h .htm .html .inf .ini .iso .jpeg .jpg .log .mdb .mp3 .msi .nfm .nrg .pas .pcx .pdf .php .ppt .rar .reg .rpt .txt .vb .vbs .wav .xls