LASTWORD.A — болтливый интернет-червь

LASTWORD.A — интернет-червь, распространяющийся при помощи MS Outlook по электронной почте во вложенных в сообщения файлах. Червь рассылает себя по всем адресам пользовательской адресной книги.

При активизации (открытии присоединенного файла), червь копирует себя в каталог Windows под одним из следующих имен:

• BIHNET.EXE
• WIN_UPDATE.EXE
• WIN32_UPDATE.EXE
• POSTA_UPDATE.EXE

Затем модифицирует системный реестр, обеспечивая себе запуск при каждом последующем старте системы:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
LastWord=C:%windir%%trojanfile%

где %windir% соответствует каталогу Windows, а
%trojanfile% — копии червя.

Помимо этого червь записывает на зараженный компьютер файл OPOMENA.TXT, в котором хранит счетчик числа загрузок инфицированной системы.

Затем червь рассылает себя по всем адресам, хранящимся в адресной книге Outlook. Сообщение червя имеет тему «Vazna informacija!», тело сообщения может быть одним из следующих:

• Cijenjeni korisnice! Update koji Vam je dosao kao attachment sluzi kao patch da bi ste se zastitili od mnogobrojnih internet crva i virusa!
• Postovani korisnice! Ovo je novi Update koji ce zastiti Vas kompjuter od internet crva! Da bi instalirali ovaj update molim pokrenite datoteku koja Vam je dosla uz attachment pod imenom
• Instalirajte ovu datoteku koja ce rijesiti problem TypeLib kod IE_5.0! Unaprijed hvala!
  

Червь также отсылает на адрес «gargamelaf@yahoo.com» следующее сообщение:

Тема: Raport!
Тело: «…inficirao sam jos jedrog GAZDA!»

Кроме этого, после перезагрузки системы червь каждый раз выдает различные message box-ы, например: