AutoKitty.A

Признаки:
При запуске создает следующие файлы - свои копии:
* файл с именем, под которым был запущен, в поддиректории CACHE директории Windows
* файл с именем, под которым был запущен, в директории "/Picture" на всех дисках
* файлы DTSYSTRA.EXE и SYSHOST.EXE в системной директории Windows (далее %sysdir%)
* PROMON.EXE и DLCTRL.EXE в системной директории Windows
* MSSRC.EXE в поддиректории drivers в системной директории Windows

Через реестр обеспечивает себе автозапуск при каждом старте Windows. Записывает в раздел "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" следующие ключи:
* dlctrl = %sysdir%\dlctrl.exe
* mssrc = %sysdir%\drivers\mssrc.exe
* promon =%sysdir%\promon.exe
* dtsystra = %windir%\system\dtsystra.exe
* syshost = %windir%\system\syshost.exe

Через реестр отключает доступ к "Редактору реестра", "Диспетчеру задач", пункты "Выполнить", "Поиск" в меню "Пуск", пункт "Свойства папки" в меню "Проводника", соответственно:
* HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 1
* HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
* HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1


Отключает отображение контекстного меню по нажатию правой кнопки мыши:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoTrayContextMenu = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoViewContextMenu = 1


Отключает командную оболочку, пункт меню "Поиск" в "Проводнике", функцию безопасной загрузки по "Ctrl+Alt+Supr", соответственно:
* HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableCMD = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoShellSearchButton = 1
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon
DisableCAD = 1

Заменяет заголовок окна Internet Explorer:
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title = Yours truly, Kitty Kat
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
EnableBalloonTips = 0


Отключает брандмауэр Windows:
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
DoNotAllowExceptions = 0
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
EnableFirewall = 0
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
DoNotAllowExceptions = 0
* HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
EnableFirewall = 0


Устанавливает новую стартовую страницу Internet Explorer:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Start Page = http://www.lyricsandsongs.com/song/759770.html

Модифицирует имя пользователя, на которое зарегистрирована система, и серийный номер продукта:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOwner = KittyKat
* KEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
ProductId = KITTY-KAT-LOVESSS-YOUUU

Отключает отображение скрытых и системных файлов и отображение расширений:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL
CheckedValue = 0
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ HideFileExt
CheckedValue = 0


Копирует себя на все диски в директорию "\Picture", в корне размещает файл autorun.inf, обеспечивая автозапуск при подключении диска к системе.

Написан на языке программирования AutoIT.


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Червь для платформы Windows. Распространяется копированием себя на все диски. Поступает на компьютер в файле с иконкой, на которой изображен котенок, под именем "m_KITTYKAT.EXE". Заменяет стартовую страницу Internet Explorer на страницу с текстом песни на сайте текстов песен, заменяет заголовок окна Internet Explorer на "Yours truly, Kitty Kat". Заменяет имя пользователя, на которого зарегистрирован компьютер.