Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, распространяющий свои копии через Интернет и поражающий компьютеры под управлением Windows. На компьютер попадает в виде письма со вложенным файлом Kiray.exe.

При запуске червь модифицирует системный реестр следующим образом:

HKCRexefileshellopencommand
«»=»c:windowstempKiray.exe»

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop=1
NoDrives=1

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
NoNetSetup=1

Таким образом червь гарантирует собственный запуск при выполнении любого EXE-файла, а также прячет все значки с «Рабочего стола» Windows и некоторые диски в «Мой компьютер» после перезагрузки системы.

Затем червь, используя MAPI, рассылает свои копии в виде писем со вложенными файлами. Письма выглядят следующим образом:

Тема: Please make peace not war
Тело письма: The Lamers and Idiots Game
Файл: Kiray.exe

Он так же пытается зачем-то обратиться к адресной книге Windows (Windows Address Book), расположение которой он считывает из ключа системного реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWAB

И в заключение червь пытается удалить все файлы в следующих каталогах:

c:windows*.*
c:windowssystem*.*
c:Program FilesMicrosoft Office*.*
c:Program FilesInternet Explorer*.*

Червь содержит несколько ошибок, которые сильно затрудняют ему существование. Так, распространение по e-mail возможно только в том случае, если почтовый клиент сохраняет временные файлы в каталоге C:WindowsTemp. Червь не может заразить компьютер, если операционная
система установлена в каталог, отличный от C:Windows.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь, распространяющий свои копии через Интернет и поражающий компьютеры под управлением Windows. На компьютер попадает в виде письма со вложенным файлом Kiray.exe. При запуске червь модифицирует системный реестр следующим образом: HKCRexefileshellopencommand «»=»c:windowstempKiray.exe» HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer NoDesktop=1 NoDrives=1 HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork NoNetSetup=1 Таким образом червь гарантирует собственный запуск при выполнении любого EXE-файла, а также прячет все значки с «Рабочего стола» Windows и некоторые диски в «Мой компьютер» после перезагрузки системы. Затем червь, используя MAPI, рассылает свои копии в виде писем со вложенными файлами. Письма выглядят следующим образом: Тема: Please make peace not war Тело письма: The Lamers and Idiots Game Файл: Kiray.exe Он так же пытается зачем-то обратиться к адресной книге Windows (Windows Address Book), расположение которой он считывает из ключа системного реестра: HKEY_CURRENT_USERSoftwareMicrosoftWAB И в заключение червь пытается удалить все файлы в следующих каталогах: c:windows. c:windowssystem. c:Program FilesMicrosoft Office. c:Program FilesInternet Explorer. Червь содержит несколько ошибок, которые сильно затрудняют ему существование. Так, распространение по e-mail возможно только в том случае, если почтовый клиент сохраняет временные файлы в каталоге C:WindowsTemp. Червь не может заразить компьютер, если операционная система установлена в каталог, отличный от C:Windows.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Kiray

Technical Details