Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 0000000]
«name» = «Signature #1»
«type» = «2»
«text» = «»
«file» = «C:RECYCLEDSTACEY.HTM»
При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза «Check This Out!», а телом — текст из файла «C:Recycledstacey.htm».
Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно:
[HKCUSoftwareJS.Stacey]
"Mailed" = "Yup!"
При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующие ключи системного реестра:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
«Signature Flags» = «3»
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
«Default Signature» = «00000000»
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000]
«name» = «Signature #1»
«type» = «2»
«text» = «»
«file» = «C:RECYCLEDSTACEY.HTM»
[HKCUSoftwareJS.Stacey]
- Удалить файл:
C:Recycledstacey.htm
- Изменить в Outlook Express настройки автоматически подставляемой подписи.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).