MSNWorm.FH

Признаки

При старте создает файл «SYMBOOTCFG.EXE» в системной директории Windows (далее %sysdir%).

Закрывает доступ к большому количеству сайтов, включая сайты производителей защитных приложений, сопоставляя их тем более доменные имена другому IP-адресу (точных данных не указано, но, обычно, это «127.0.0.1″) в файле «HOSTS».

Обеспечивает себе автозагрузку при каждом старте системы. Добавляет в реестр запись:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Symantec Boot Config = symbootcfg.exe

Отключает доступ к командной оболочке (cmd.exe). Модифицирует в реестре запись:
HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Windows\ System
DisableCMD = 01, 00, 00, 00

Отключает функцию восстановления системы. Модифицирует в реестре запись:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableConfig = 01, 00, 00, 00

Написан на языке Delphi.

ЗАЩИТА

Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить удивительно изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется, рассылая свои копии через MSN Messenger. Закрывает доступ к большому количеству сайтов, включая сайты производителей защитных приложений. Отключает доступ к командной консоли (cmd.exe), отключает функцию восстановления системы.

источник: PandaSecurity.com