W32/Leave.worm — интернет-червь, заражающий компьютеры уже инфицированные троянским конем Backdoor.Subseven. Известны три компоненты червя: BIN.DLL (22 kb), REGISTRY.DLL (53 kb) и EXE-файл (75 kb), который может иметь различные имена. Все эти компоненты запакованы при помощи UPX.
При запуске EXE-файл копирует себя в c:WINDOWSregsv.exe, а также создает файл c:WINDOWSacI3.dll (содержит некие зашифрованные данные).
Затем создает в системном реестре ключи:
HKU.DefaultSoftwareMirabilisICQAgentAppsicqrun=»C:WINDOWSregsv.exe»
HKLMSoftwareMicrosoftWindowsCurrentVersionRunregsv=»C:WINDOWSregsv.exe»