Gurong.a

[Ŧ1LAN]

название:Email-Worm.Win32.Gurong.a
размер: 28160
распространение: по мылу
Действие на систему:
он использует методы rootkit , чтобы скрыть процесс и ключи запуска в реестре. Он основан на коде Mydoom, и существует в диком виде, но в настоящее время распространившийся очень медленно... Gurong.a изменяет ядро операционной системы, SSDT и структуры процесса, таким образом это - kernel mode rootkit. Его отличает от других kernel mode rootkits способ установки в систему.

после того как червяк запущен он копирует себя в системный каталог с именем wmedia16.exe

также создаёт следующие ключики реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WMedia16" = "%WinSysDir%\wmedia16.exe"

---------
текст заражённого письма примерно такой:

Greetings! Check out my portfolio, please! Here is some my photos in the archive.
Greetings. Here is some my nude photos in the attachment.
Hello bro! Here is my new girlfriend's photo! Check it out!
Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
Hello! Here is NEW smiles pack for MSN messenger! It is really cool
Hello! I sent you new skype plug-in, as you wished.
Hello! There is NEW plug-in for MSN. Try it out!
Hey bro! Check out attachment! There is a new plug-in for skype!
Hey dear! Here is my photos, as I promised.
Hey friend! Try this new smiles pack for MSN messenger!
Hey man! Take a look at attachment!
Whatz up man! There is my nude 17-yr sister in the attachment!'

имя файла в атаче:

body
conf_data
doc
document
i_love_u
i_luv_u
port_imgs
sex_girls
sex_pics

расширение файла может быть одно из следующих:

bat
cmd
exe
pif
scr

всё. ))