Описание вируса Scareg

Win32.HLLW.Scareg является вирусом-червем, который распространяется через дискеты. Является приложением Windows (PE EXE-файл), имеет размер около 372K, написан на Delphi.

При запуске червь копирует себя в систему два раза. Сначала он переносит системный файл SCANREGW.EXE из каталога Windows в системный каталог Windows:

WindowsSCANREGW.EXE -> WindowsSYSTEMSCANREGW.EXE

и записывает вместо «настоящего» SCANREGW.EXE свою копию.

Затем червь копирует себя в подкаталог Windows под именем:

MEDIAIDH_001.exe.

Червь затем создает новый или модифицирует существующий ключ авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
ScanRegistry = %WindowsDir%Scanregw.exe

В дальнейшем червь определяет сменные диски (дискеты) и записывает на них свою копию под именем HDD.EXE.