Virus.Win32.Xpaj

Вирус заражает файлы, расположенные в следующих папках:

• %system% (обычно C:Windowssystem32)
• %ProgramFiles% (обычно С:Program Files)
• Файлы в расшаренных папках
• Файлы на съемных носителях, удаленных (сетевых) дисках и виртуальных (RAM) дисках
• Файлы, подготовленные для записи компакт-дисков
• Файлы, на которые есть ссылки в реестре по определённым ключам:

  
  
  
  SoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper 
  
  
  
  SoftwareMicrosoftInternet ExplorerExtensions SoftwareMicrosoft
  
  
  
  Internet ExplorerUrlSearchHooks SoftwareMicrosoftWindows
  
  
  
  CurrentVersionShell ExtensionsApprov 
  
  
  
  SoftwareClassesDirectoryShellExContextMenuHandlers
  
  
  
  SoftwareClassesFolderShellExContextMenuHandlers
  
  
  
  SOFTWAREClassesProtocolFilter
  
  
  
  SOFTWAREMicrosoftWindowsCurrentVersionRun
  
  
  
  SOFTWAREClassesApplications
  
  
  
  SOFTWAREClientsStartMenuInternet
  
  
  
  SOFTWAREMicrosoftMultimedia
  
  
  
  SOFTWAREMicrosoftWindowsCurrentVersionApp Paths SOFTWAREMicrosoftWindowsCurrentVersionUninstall
  
  
  
  

Если файл не удовлетворяет некоторым условиям, например, он защищён с помощью SFC, то он не заражается.

Пытается подключиться к удалённым серверам управления, указанным в теле вируса. Если подключение к серверам не может быть установлено, то производится попытка подключения к серверам, доменные имена которых генерируются вирусом по определённому алгоритму.

Вирус способен загружать с сервера управления дополнительные зашифрованные модули, которые затем исполняются им в зараженной системе.

Примечание

Известно несколько вариантов данного вируса. Данное описание составлено для версии актуальной на август 2011 года.