P2P-Worm.Win32.Hofox

Technical Details

Вирус-червь. Распространяется через P2P-сети.

Червь является приложением Windows (PE EXE-файл), имеет размер около 49KB, написан на Visual Basic.

При старте червь останавливает сервис Norton Antivirus Auto Protect Service.

Инсталляция

При старте червь записывает себя с именем стартовавшего приложения в ключ системного реестра:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunworm]

Копирует себя в каталог «C:My shared folder» под именами:

Norton Anti-Virus 2004.exe
How To Hack.doc.exe
Win XP Pro .exe
Windows Longhorn full beta version.exe
Norton Anti-Virus keygen.exe
Hotmail H4x0r.exe»
Halo — Combat Evolced.exe
DivX Pro .exe
Super Encrypt.exe
PornViewer.exe
Panda internet security.exe
Paint Shop Pro 8.exe
Paint Shop Pro 9 beta.exe
McAfee Anti-Virus.exe

И в каталог «C:WindowsSystem32» под именами:

Norton Anti-Virus.exe
Halo.exe
Dunno.exe
Your Ad Here.exe
Girls Peeing.exe
Hacking is fun.exe

А также в:

C:Program FilesAccessoriesYour Gay.exe

Проявления в системе

Запускает несколько процессов charmap.exe и notepad.exe. Запускает Internet Explorer для посещения http://www.ratemypoo.com.

Деструктивные функции

Удаляет файлы с расширениями JPG, GIF, MOV, MPG, MPEG, AVI, DOC, PDF, TXT.