Все о pif вирусах

Например, компания MessageLabs, специализирующаяся на фильтрации электронной почты, во вторник перехватила свыше миллиона сообщений, несущих в себе этот вирус, а конкурирующая фирма Postini выловила за одни сутки 2,6 млн зараженных писем. "Это самый быстрый вирус из всех, какие мы видели", - заявил вице-президент Postini Скотт Петри. Обычно компания, по его словам, регистрирует гораздо меньше писем с вирусами - около 500 тыс. в сутки.

Во вторник и в среду новый вирус так наводнил корпоративные системы e-mail, что каждое сообщение приходилось дезинфицировать, прежде чем допустить в компьютер получателя. MessageLabs подсчитала, что вирус Sobig содержало почти каждое 17-е сообщение: это гораздо больше соотношений 1:275 и 1:138, отмечавшихся во время самой страшной до сих пор эпидемии вируса Klez.H.

Sobig.F, как и предыдущие версии вируса, в качестве подложного адреса отправителя рассылаемых им сообщений использует адрес e-mail, отличный от адреса жертвы. Многие антивирусные системы сигнализируют владельцу этого адреса, что его компьютер инфицирован, даже если известно, что злоумышленник изменил исходный адрес. В результате интернет-артерии засоряются еще больше. "Мы решили не реагировать на спам или вирусы, так как это быстро приводит к перегрузке сети", - говорит Петри.

Крупнейшему североамериканскому провайдеру America Online тоже пришлось бороться с лавиной электронных сообщений. В обычные дни этот интернет-сервис-провайдер получает примерно 11 млн писем с вложениями, которые нужно проверять. Во вторник в компанию поступило около 31 млн таких сообщений, почти 11,5 млн из которых несли в себе Sobig.F. С момента появления вируса, 18 августа, AOL удалось уничтожить более 23 млн его копий. Вирус добавил работы и системным администраторам Массачусетского технологического института, Министерства обороны США, а также многих других организаций. Расслабиться они смогут только через 20 дней - как и предыдущие его версии, Sobig.F имеет встроенную дату отключения. Данный вариант настроен на прекращение распространения 10 сентября.

Однако этот факт, вместо того чтобы успокоить администраторов ISP, наводит их на мысль, что с каждым новым вариантом авторы семейства вирусов Sobig еще больше совершенствуются в своем черном деле. "Раз автор вируса Sobig использует встроенную дату дезактивации, значит, он обдумывает новые, усовершенствованные версии, - говорится в заявлении главного технолога MessageLabs Марка Саннера. - Каждый из известных вариантов Sobig превосходил предыдущий по скорости распространения и оказываемому эффекту в период первоначального окна активности".

Также, по его мнению, в начале следующей недели эпидемия вируса Sobig.F может разгореться с новой силой. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернется из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни зараженных писем. И никаких средств для борьбы с Sobig.F у них еще нет. "Мы ожидали, что темпы распространения червя упадут на второй день, но этого не случилось", - рассказывает Саннер.

А по мнению представителя антивирусной компании F-Secure Микко Хиппонена, этот вирус, четвертый день терроризирующий почтовые ящики всего Интернета, был написан спамерами. Он считает, что с помощью вируса некто пытается пробиться через противоспамовые фильтры. "Мы имеем ясный мотив для написания вируса - деньги", - сказал он корреспонденту BBC.

"Лаборатория Касперского" отмечает, что размах эпидемии Sobig.F вызывает ряд вопросов и предположений. Прежде всего, удивляет скорость распространения червя, использующего самые обычные методики заражения. Этот червь не атакует бреши в системах безопасности. Пользователь должен самостоятельно запустить присланный по электронной почте вложенный файл, чтобы Sobig.F смог проникнуть в компьютер. Большая часть интернет-сообщества прекрасно осведомлена о такой опасности. Поэтому, скорее всего, автор червя снова прибег к использованию спам-технологий для массовой рассылки этой вредоносной программы. Вследствие этого копии червя получили сразу несколько миллионов получателей, среди которых оказалось много неосторожных пользователей. По мнению специалистов, это крупнейшая эпидемия почтового червя за последние полтора года.

Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif. Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!

В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты.

После этого червь с помощью встроенного smtp-сервера рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес admin@internet.com". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE.

Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы.

Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса (bill@microsoft.com) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве.

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О его наличии в системе свидетельствуют следующие симптомы:

1. В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).

2. В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "TrayX" = C:WINNTWINPPR32.EXE /sinc HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "TrayX" = C:WINNTWINPPR32.EXE /sinc

Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun и HKEY_CURRENT_USERSSOFTWAREMicrosoftWindowsCurrentVersionRun. В операционной системе Windows NT/2000/XP переходить в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

В начале следующей недели эпидемия вируса Sobig.f, которую уже называют крупнейшей эпидемией почтового червя в истории, может разгореться с новой силой, сообщает Компьюлента.

Так считает технический директор компании MessageLabs Марк Саннер, занимающейся борьбой с компьютерными вирусами. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернется из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни зараженных писем. И никаких средств для борьбы с Sobig.f у них еще нет. Червь распространяется по интернету с понедельника. "Мы ожидали, что темпы распространения червя упадут на второй день, но так и не дождались", - рассказывает Саннер.

Первые сигналы о появлении новой версии компьютерного "червя" Sobig.f появились на этой неделе в США. Этот вирус может приходить с адресов компаний IBM и Microsoft. Заголовки писем, содержащих вирус, могут выглядеть как "Re: Thank You" ("Ответ: спасибо") или "Re: approved" ("Ответ: принято").

Файлы, прикрепленные к письмам с вирусом, могут иметь расширения .scr или .pif и названия вроде "your documents" ("ваши документы"), "details" ("подробности") или "thank you" ("спасибо"). Попав в компьютер пользователя, вирус заражает Windows.

Новый вирус не парализует полностью работу компьютера, но может поражать отдельные программы, замедлять работу приложений Windows.

Вирус обладает невероятной способностью к распространению в интернете. Он уже заразил сотни тысяч компьютеров по всему миру. Так, крупнейший мировой оператор интернета компания AOL сообщила, что за последние четыре дня смогла выявить в своих сетях до 12 млн копий Sobig.f. Подобно огородному сорняку, новый супервирус обладает невероятной способность к самовоспроизводству и тиражированию.

Особенность Sobig.f состоит в том, что он может изменять содержание текстов электронных посланий и атаковать через электронную почту каждый отдельный компьютер десятками и даже сотнями различных сообщений.

Службы контроля интернета предупреждают, что сейчас следует быть очень осмотрительным в случае, если на ваш электронный адрес пришло неожиданно большое количество посланий. Не исключено, что это попытка Sobig.f прорваться в ваш компьютер.

Отправитель "компьютерного червя" может не только заполучить практически полный контроль над компьютером, но и завладеть конфиденциальными данными.

По данным на четверг, вирус Sobig.f был зафиксирован в 134 странах мира, где вывел из строя множество e-mail-систем и посеял панику среди пользователей.

В вирусе запрограммировано прекращение работы до 10 сентября 2003 года.

Как избавиться от вируса Sobig.f

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.f. О наличии вируса в системе свидетельствуют следующие симптомы:

2. В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

"Лаборатория Касперского" рекомендует не выходить в интернет без обновления антивирусных программ

Подробности о вирусе Sobig.f, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года.

Анализ почтового трафика "Лаборатории Касперского" показывает, что Sobig.f уверенно лидирует среди общего числа сообщаемых технической поддержке компании вирусных инцидентов: доля этого червя составляет более 92%, число пораженных систем оценивается в несколько сотен тысяч.

В свете распространения опасных компьютерных вирусов специалисты рекомендуют пользователям не выходить в интернет, не имея антивирусных программ с последними обновлениями, как заявил руководитель информационной службы "Лаборатории Касперского" Денис Зенкин. "Если вы выходите в интернет без антивирусной программы, то буквально через минуту компьютер будет завален", - подчеркнул Зенкин.

Вирус написали "спамеры"

Эксперт назвал вирус Sobig.f достаточно опасным. Вирус распространяется по электронной почте в виде вложенного файла. После запуска этого файла вирус внедряется в компьютер, "прописывает" себя в системном реестре Windows и, таким образом, обеспечивает себе активизацию при каждом запуске операционной системы. После этого вирус сканирует жесткие диски компьютера, находит там файлы с определенными расширениями, проверяет их, находит строки, которые похожи на адреса электронной почты, забирает их оттуда и записывает в свой специальный файл, чтобы потом незаметно для владельца компьютера рассылать свои копии по этим адресам, рассказал Зенкин.

В результате вирус не только дискредитирует владельца зараженного компьютера, но и модифицирует систему Windows, из-за чего нормальное функционирование компьютера может быть нарушено. Кроме того, на компьютер загружается "троянская программа", благодаря которой автор получает, по существу, полный контроль над системой и может загружать, удалять файлы, а также использовать компьютер, как спам-машину, заметил специалист. Вирус достаточно сложно распознать, так как он использует подставные адреса отправителей и постоянно меняет темы и тексты сообщения и вложенных файлов, отметил Зенкин.

По мнению представителя антивирусной компании F-Secure Микко Хиппонена, вирус Sobig.f, третий день терроризирующий почтовые ящики всего интернета, был написан спамерами. Он считает, что с помощью вируса некто пытается пробиться через противоспамовые фильтры. "Мы имеем ясный мотив для написания вируса - деньги", - сказал он корреспонденту BBC.

Такого же мнения придерживаются и в "Лаборатории Касперского": специалисты считают, что, cкорее всего, для рассылки зараженных писем автор червя прибег к становящимся в последнее время особенно популярными и среди вирусописателей спам-технологиям.

Наиболее надежный способ борьбы с вирусом - установка на компьютер антивирусных программ с последними обновлениями.

Новый опасный вирус продолжает гулять по миру!

Вирус очень опасен, поскольку при попытке запуска ряда антивирусных программ (в том числе, Doctor Web, если его исполняемый модуль drweb.exe не был предусмотрительно переименован пользователем) вирус уничтожает все файлы на всех логических дисках компьютера.

Сегодня вирус обнаруживается только одним сканером - Doctor Web! Другие сканеры его не видят! Это связано с очень нетривиальным механизмом заражения файлов, при котором вирус не модифицирует начало программного кода, а внедряется в его середину, в случайно выбираемую область одной из программных функций, которая скорее всего, при определенных обстоятельствах будет вызвана на исполнение. При запуске такого зараженного файла вирусный код может никогда не получить управления, если программная функция, в которой он "поселился", не будет вызвана самой программой. Вирус может "годами жить" в таком файле, пока, наконец, сама программа или пользователь, управляющий ею, не выполнят каких-либо действий (например, нажмет кнопку F1), повлекших за собой передачу управления той программной функции, на месте которой и "живет" этот самый вирус.

Такой механизм внедрения в файлы ранее был реализован в очень сложных полиморфных вирусах семейства Zhengxi, появившихся в Санкт-Петербурге еще в 1995 году. До сих пор фактически единственным средством борьбы с ними является антивирус Doctor Web, в котором Игорь Данилов применил специальный метод глубокого (deep) сканирования. Тогда благодаря оперативной реакции Doctor Web эпидемия вирусов Zhengxi была остановлена в зародыше и вирусы далеко не разошлись.

Вероятно, поэтому другие разработчики антивирусов, столкнувшись с очень серьезными трудностями, не уделили должного внимания вирусам Zhengxi, посчитав их чисто коллекционными. И до настоящего времени очень немногие сканеры научились, в принципе, ловить такие вирусы. Причем, обнаружение их удается только в случаях, когда либо вирус поселяется в начале файла (что бывает далеко не всегда, и значит, такое обнаружение очень ненадежно), либо антивирус использует режим избыточного (redundant) сканирования (что замедляет работу сканера в десятки раз, и значит, такое сканирование просто никем не используется). В то же время, Doctor Web надежно обнаруживает все эти вирусы, причем в стандартном режиме работы.

Напомним, что Doctor Web (а точнее, его автор Игорь Данилов) всегда отличался особой "любовью" к сложным полиморфным вирусам. Этот факт неоднократно отмечался в международных тестах антивирусных программ-сканеров. И вот, в частности, такая щепетильность ранее в отношении экзотических вирусов Zhengxi позволила теперь Игорю Данилову оперативно отреагировать на появление нового вируса. Уже 16 февраля 1999 года программа Doctor Web 4.04 (как традиционна 16-битная версия, так и 32-битная бета-версия) умела его обнаруживать. Однако, ни одна из других антивирусных программ-сканеров пока не научилась этого делать. В этом свете, распространенное требование к современным сканерам об изготовлении "лекарства" за 48 часов выглядит несколько поспешным.

Всем подписчикам ЗАО "ДиалогНаука" или его дилеров мы настоятельно рекомендуем обязательно получить свежую (не ниже 4.04) версию Doctor Web, если это еще не проделано. И конечно, переименовать полученный исполняемый модуль, чтобы предотвратить возможную паническую реакцию вируса на запуск антивируса.

Ниже приводится краткое описание вируса, подготовленное Игорем Даниловым. С более подробным его описанием можно познакомиться на сервере ЗАО "ДиалогНаука".

Win95.SK.7977

При заражении PE-файлов вирус Win95.SK.7977 не изменяет стартовый адрес программы. Вместо этого он сканирует содержимое стартовой секции программы для поиска некоторых последовательностей байт. Как правило, такие последовательности присутствуют во всех программах, созданных с помощью компиляторов языков высокого уровня ( Pascal, C++, . ). Причем, такими инструкциями (например, "PUSH EBP; MOVE EBP,ESP") обычно начинаются программные функции.

Если требуемые байты обнаружены, проверятся условие, чтобы найденная якобы программная функция была не менее 168 байт (в пределах 168 байт не должно быть инструкции возврата - RET). В случае успеха вирус запоминает адрес этой функции (адрес обнаруженной последовательности байт) и продолжает свой дальнейший поиск. После такого сканирования, если была найдена хоть одна подходящая для вирусного внедрения функция, выбирается случайный из всех зафиксированных вирусом адресов функций.

Если вирус не смог найти ни одной подходящей ему процедуры, то он выбирает для внедрения своего кода стартовый адрес программы. В выбранное место помещается до 168 байт полиморфного кода, который расшифровывает основной вирусный код. Термин "полиморфный" означает, что программа состоит из случайной последовательности инструкций, котора выбирается заново при заражении каждого файла. Таким образом, дл обнаружения вируса антивирусной программе необходимо сканировать значительную часть кода программ в поиске неизвестно чего.

Резидентный код вируса подключается к файловым операциям и при обращении к файлам с расширениями EXE, DLL, SCR или HLP пытается их инфицировать.

Инфицированные HELP-файлы, пользуясь средствами макрокоманд, создают на диске C: и запускают на исполнение программу со случайным именем длиной в 380 байт. Эта программа, получив в качестве параметра имя породившего ее файла, находит в нем зашифрованное тело вируса, расшифровывает его, и передает ему управление. А тот оставляет в памяти свою резидентную копию, если такой еще нет.

Следует отметить, что заражение любого файла (исполняемого, архива или файла помощи) вирус производит только через минуту после предыдущего заражения.

Win95.SK.7977 очень опасен. При открытии программ, начинающихся на "ADIN" или "AVPI", а также, с большой долей вероятности, при открытии файлов, начинающихся на "_AVP", "AVP", "VBA" или "DRW" вирус уничтожает все файлы на всех логических дисках компьютера, после чего "завешивает" систему, вызывая системную функцию Fatal_Error_Handler. Удаляет файл WINDOWSCOMMAND.PIF.

У нас в сети (г. Жуковский)

Мой компьютер на прошлой неделе не работал 4 дня из 5 рабочих. Восстановить его мне стоило 2 бессоных ночи.

Что случилось — по почте пришло письмо от знакомых с приаттаченным файлом с расширением scr. В теле письма был текст о каком-то драйвере принтера. При попытке посмотреть свойства файла scr система сильно задумалась.

После этого исчез загруженный монитор Касперского. Просто так — с диска исчез исполняемый файл. И это случалось с большинством исполняемых файлов, которых я загружал.

В каталоге windows появился файл winkl.exe. Только в SafeMode его удалось удалить.

После перезагружки в каталоге windows появился файл winkm.exe.

Это продолжалось до бесконечности — неизменно в каталоге появлялся файл с именем, начинающимся на wink.

На следующий день, озлобленный и грусный, я с работы посетил сайт лаборатории касперского — и увидел там описание симптомов вируса, который поразил мой компьютер.

Скачав маленькую утилитку clav.com, я смог удалить вирус. Однако после удаления система перестала запускатся. Пришлось переустанавливать Windows.

Началась опаснейшая эпидемия компьютерных вирусов klez.
Антивирусные мониторы, как правило, бессильны — так как вирус поступает на компьютер в зашифрованом виде.
Как не заразится
— безжалостно уничтожать все письма, адресант которых вам неизвестен.

Уничтожать письма даже из знакомых источников, если в теле письма нет текста, а есть приложенные файлы с непонятным расширением и небольшим (до 70Kb) размером.

Ни в коем случае не запускать приложенные EXE-файлы, если о них не говорится в тексте письма.

Чем грозит заражение вирусом — уничтожение всех исполняемых файлов, расположенных на локальных или удаленных дисках. Уничтожение операционной системы. Несколько дней простоя компьютера — для излечения требуется прилично времени.

Как вылечить компьютер, заражённый вирусом I-Worm.Klez?
1) отключите зараженный компьютер от локальной сети (если он в сети)
2) запустите утилиту clrav.com

Все машины в локальной сети следует пролечить отдельно.

Вирус-червь. имеет размер от 57K до 65K

При запуске зараженного файла червь копирует себя в системную папку Windows с именем krn132.exe. Затем он записывает в реестр следующий ключ, чтобы стартовать автоматически при запуске Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132 = %System%\Krn132.exe
где %System% является именем системного каталога Windows.

Затем вирус ищет активные приложения и пытается выгрузить их командой Windows "TerminateProcess":

Тема отсылаемых червём сообщений случайно выбирается из списка:

Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations.
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger

Тело сообщения следующее:

I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

Присоединённый файл: Win32 PE EXE - файл со случайным именем и расширением ".exe" или с двойным расширением:

name.ext.exe
Для выбора имени приложенного файла вирус сканирует все доступные диски, ищет на них файлы с расширениями:

.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.

В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес.

Интересной особенностью червя является то, что при рассылке писем он записывает в свой EXE-файл список найденных адресов электронной почты.

Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.

Распространение: локальные и сетевые диски
Червь перебирает все локальные диски, сетевые диски с правом доступа и копируется туда под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.

Klez.e
Запуск вируса
Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".

Червь ищет ссылки на EXE-файлы в следующем ключе реестра:

Software\Microsoft\Windows\CurrentVersion\App Paths
Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его.

Червь заражает RAR архивы, записывая в них свои копии со случайным именем. Имя файла выбирается из списка:

setup
install
demo
snoopy
picacu
kitty
play
rock
К имени файла вирус добавляет два или одно расширения, последнее из которых это - ".exe", ".scr", ".pif" или ".bat".

Распространение: e-mail
Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно:

Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Червь также может сгенерировать тему сообщения, используя строки из списка:

Undeliverable mail—%%
Returned mail—%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools

Где %% выбирается из списка:

new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez

Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений. Ошибке подвержены только пользователи Outlook. Пользователи TheBat! могут заразится через почту только по собственному недосмотру или жадности.

Червь уничтожает активные файлы, похожие на антивирусные модули.

А это - наш народ развлекается