Описание Интернет-червя Lohack

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 15K (упакован UPX, распакованный размер файла — около 41K),
написан на Microsoft Visual C++.

Зараженные письма содержат:

Заголовок:
Hacking course…
Текст:
Look the hacking course — version 1.0 !
By Senna Spy — Made In Brazil
http://www.avpavp.hpq.com.br
Имя вложения:
hacking.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т.е.
является червем «однократного» действия.

Для рассылки писем червь сканирует каталог Windows со всеми подкаталогами, ищет файлы с расширениями имени:

.IDX .NCH .MDX .DBX .MSG .EML .TXT .HTM

в обнаруженных файлах ищет адреса электронной почты (текстовые строки, являющиеся адресами) и рассылает по этим адресам зараженные письма. При рассылке писем использует функции Windows MAPI.