Энциклопедия компьютерных вирусов
Дальнейшее распространение
При следующем запуске Windows червь активизируется посредством команды "Run=" в инициализационном файле WIN.INI. После этого он берет контроль на себя, регистрирует себя в памяти Windows в качестве скрытого приложения (невидимого сервиса), что дает червю возможность оставаться активным, даже если пользователь выйдет из системы (log off). Вслед за этим червь запускает две другие подпрограммы. Одна из них обеспечивает распространение червя через локальную сеть, другая - через электронную почту. Кроме того, остается активной подпрограмма инсталяции. Это означает, что заражаются и все новые обнаруженные на инфицированном компьютере версии Windows. Все перечисленные подпрограммы работают как основные процессы, т.е. параллельно.
Первая из подпрограмм обеспечивает распространение червя по локальной компьютерной сети. Она собирает информацию о всех сетевых дисках, ищет на них каталоги Windows и, в случае, если таковые обнаружены, копирует в них зараженный файл RCPSRV.EXE и регистрирует червя в файле WIN.INI или реестре. В результате, при следующей загрузке вместе с Windows на удаленном компьютере запускается и сам червь, готовый распространяться дальше.
Вторая подпрограмма посылает зараженные сообщения по электронной почте. Для этого червь использует протокол SMTP. Отличительная черта распространения червя по электронной почте состоит в том, что он рассылает себя, используя прямое соединение. Это определяет независимость способности червя к распространению от типа установленной на компьютере программы для обработки электронной почты.
Раз в шесть секунд эта подпрограмма определяет все активные программы и ищет среди них следующие приложения для работы с Интернет: Outlook, CuteFTP, Internet Explorer, Telnet, Mirc. Обнаружение любой из перечисленных программ дает червю основание полагать, что данный компьютер подключен к сети Интернет (это необходимо для используемого червем прямого SMTP соединения). Вслед за этим червь извлекает из системного реестра адрес SMTP сервера и адрес электронной почты зараженного компьютера. На основании этих данных он создает новое сообщение, содержащее вложенный инфицированный файл SETUP.EXE и отсылает его. Адреса электронной почты, по которым червь рассылает свои копии, берутся из файлов в подкаталогах Windows. Червь сканирует эти каталоги и ищет файлы с расширениями .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Затем он просматривает эти файлы и выбирает строки, похожие на адреса электронной почты. За каждый прием червь рассылает себя не более чем 10 адресатам.
