Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 0000000]
“name” = “Signature #1”
“type” = “2”
“text” = “”
“file” = “C:RECYCLEDSTACEY.HTM”
При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза “Check This Out!”, а телом — текст из файла «C:Recycledstacey.htm».
Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно:
[HKCUSoftwareJS.Stacey]
"Mailed" = "Yup!"
При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующие ключи системного реестра:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
“Signature Flags” = “3”
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
“Default Signature” = “00000000”
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000]
“name” = “Signature #1”
“type” = “2”
“text” = “”
“file” = “C:RECYCLEDSTACEY.HTM”
[HKCUSoftwareJS.Stacey]
- Удалить файл:
C:Recycledstacey.htm
- Изменить в Outlook Express настройки автоматически подставляемой подписи.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).