Описание Интернет-червя Kiray

«Лаборатория Касперского» сообщает об обнаружении нового Интренет червя Kiray.

Этот вирус-червь распространяет свои копии через Интернет и поражает компьютеры под управлением Windows. На компьютер он попадает в виде письма со вложенным файлом Kiray.exe.

При запуске червь модифицирует системный реестр следующим образом:

HKCRexefileshellopencommand
«»=»c:windowstempKiray.exe»

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop=1
NoDrives=1

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
NoNetSetup=1

Таким образом червь гарантирует собственный запуск при выполнении любого EXE-файла, а также прячет все значки с «Рабочего стола» Windows и некоторые
диски в «Мой компьютер» после перезагрузки системы.

Затем червь, используя MAPI, рассылает свои копии в виде писем со вложенными файлами. Письма выглядят следующим образом:

Тема: Please make peace not war
Тело письма: The Lamers and Idiots Game
Файл: Kiray.exe

Он так же пытается зачем-то обратиться к адресной книге Windows (Windows Address Book), расположение которой он считывает из ключа системного реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWAB

И в заключение червь пытается удалить все файлы в следующих каталогах:

c:windows*.*
c:windowssystem*.*
c:Program FilesMicrosoft Office*.*
c:Program FilesInternet Explorer*.*

Червь содержит несколько ошибок, которые сильно затрудняют ему существование. Так, распространение по e-mail возможно только в том случае, если почтовый клиент сохраняет временные файлы в каталоге C:WindowsTemp. Червь не может заразить компьютер, если операционная
система установлена в каталог, отличный от C:Windows.