MSNWorm.FH

Признаки:
При старте создает файл "SYMBOOTCFG.EXE" в системной директории Windows (далее %sysdir%).

Закрывает доступ к большому количеству сайтов, включая сайты производителей защитных приложений, сопоставляя их доменные имена другому IP-адресу (точных данных не указано, но, обычно, это "127.0.0.1") в файле "HOSTS".

Обеспечивает себе автозагрузку при каждом старте системы. Добавляет в реестр запись:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Symantec Boot Config = symbootcfg.exe

Отключает доступ к командной оболочке (cmd.exe). Модифицирует в реестре запись:
HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Windows\ System
DisableCMD = 01, 00, 00, 00

Отключает функцию восстановления системы. Модифицирует в реестре запись:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableConfig = 01, 00, 00, 00

Написан на языке Delphi.


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Червь для платформы Windows. Распространяется, рассылая свои копии через MSN Messenger. Закрывает доступ к большому количеству сайтов, включая сайты производителей защитных приложений. Отключает доступ к командной консоли (cmd.exe), отключает функцию восстановления системы.