Virus.Win32.LazyMin

Полиморфный компьютерный вирус. После запуска остается резидентным в памяти. Представляет собой DLL-файл со случайным именем. Копирует себя в системный каталог MS Windows (%SYSTEM%).

Кроме вирусного функционала, содержит также функции клавиатурного шпиона (key logger) и сервера для неавторизованного доступа к ресурсам зараженного компьютера (backdoor), который использует протокол IRC. Таким образом, злоумышленник может легко получить доступ к ресурсам зараженного компьютера, а при помощи клавиатурного шпиона сможет получить информацию приватного характера (например пароли).

Каждые 5 минут, ищет запускаемые файлы для заражения на дисках A: — Z:. Заражает, дописывая свое тело в конец исполнимого файла.

После заражения, ждет подключения с серверов:

irc.arkhnet.com



irc.dal.net



irc.rtdptrx.es



powertech.no.eu.dal.net

Регистрирует в реестре ключи:

[HKEY_CLASSES_ROOTCLSID{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}InProcServer32]



 (Default)="%System%имя_DLL_компоненты.dll"







[HKEY_LOCAL_MACHINESoftwareMicrosoftMSDN]



 "IDT"



 "PSBAHMBS"



 "Fprt"



 "KSE"



 "EkeyID"

Не заражает файлы, содержащие в имени строки:

NAVW32



RUNDLL32

Препятствует работе программ:

Regmon



Filemon

Содержит строки:

LazyAdmin-VX v3.1 by ArkhAdmin



[DLL] Release: 12:00 20.07.2003



-LazyUsхrs-

Удаляет файлы:

C:avp_cure.bat



C:Rar$DI01.903