Интернет-червь Creative наведет свой порядок на вашем компьютере

Creative (aka I-Worm.Prolin, TROJ_SHOCKWAVE, W32.Prolin, W32/ProLin@MM) — новый интернет-червь, появившийся в «диком виде», был обнаружен в Северной Америке. Червь распространяется традиционным способом: посылает свои копии в присоединенном файле в сообщении электронной почты, используя Microsoft Outlook, по всем адресам, содержащимся в адресной книге Outlook на зараженном компьютере. Характеристики письма червя следующие:

Тема сообщения: A great Shockwave flash movie
Тело Сообщения: Check out his new flash movie that I download just now…It’s Great
Присоединенный файл: CREATIVE.EXE

При активизации червь записывает свою копию (creative.exe) в корневую директорию на диск С: и в стартовую директорию Windows, что позволяет ему всегда выполняться при каждой последующей перезагрузке системы.

Затем червь ищет на жестком диске инфицированного компьютера все .JPG и .ZIP файлы и перемещает их в корневую директорию диска C:. Имена этих перемещенных файлов червь изменяет, добавляя в их конец текст: «change atleast now to LINUX» (например, файл «XXXX.ZIP» после манипуляций червя будет называться «XXXX.ZIPchange atleast now to LINUX»).
Червь также создает файл C:MESSAGEFORU.TXT, который содержит все, сделанные им, модификации файлов:
в нем (C:MESSAGEFORU.TXT) регистрируется информация о первоначальном расположении всех перемещаемых файлов (что можно впоследствии использовать для восстановления статус-кво).

Файл MESSAGEFORU.TXT также содержит следующий текст:

Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear… — The Penguin

Техническое описание червя Creative от «Лаборатории Касперского»