Червь Hunch форматирует жесткий диск

Hunch — это вирус-червь, который распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 151 K и написан на Visual Basic.

Зараженные письма содержат:

Тема: COSTO

Тело письма: Mensaje importante para %Recipient% en el archivo adjunto…

Вложение: PE EXE файл, имя не фиксировано.

Инсталляция

После запуска червь создаёт окно с картинкой

и устанавливается в систему. Червь делает 3 свои копии в системной директории Windows: одну с именем файла, откуда червь был запущен, и две со следующими именами:

%SYSTEM%THWIN.EXE

%SYSTEM%MSWORD.EXE

После этого червь регистрируется в следующих ключах автозапуска Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
THWIN=%SYSTEM%THWIN.EXE

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
THWIN=%SYSTEM%THWIN.EXE

Червь также пытается скопировать себя на диск A: с именем «UNSCH.JPG.EXE».

Рассылка писем

Для отсылки заражённых писем червь использует Microsoft Outlook. Он получает имена и адреса жертв из адресной книги Outlook и отсылает по найденным адресам письма со своими копиями.

Проявления

В зависимости от внутренних счётчиков, червь записывает в файл
C:Autoexec.bat команду форматирования диска C:.