W32.Redlofs

Признаки:
При старте создает следующие файлы:
* %Windir%\10.1.08.exe
* %Windir%\1o.1.o8.exe
* %Системный_диск%\10.1.08.exe

(%Windir% - директория, в которую установлена Windows, обычно "C:\Windows")

Обеспечивает себе автозагрузку при каждом запуске Windows тремя способами. Создает (1 запись) и модифицирует (2,3) следующие записи в реестре:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ "10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Shell" = "Explorer.exe C:\WINDOWS\1o.1.o8.exe shell"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Userinit" = "C:\WINDOWS\10.1.08.exe init"


Создает в реестре подключ
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ .key

Создает в реестре ключ
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".key" = "exefile"


Модифицирует следующие записи в реестре:
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ "NoFolderOptions" = "1"
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableTaskMgr" = "1"
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableRegistryTools" "1"
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ "1o.1.o8" = "C:\ WINDOWS\ 1o.1.o8.exe hcurun"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".bat" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".cmd" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".com" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".hta" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".js" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".JSE" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".msi" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".pif" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".reg" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".scr" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".VBE" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".vbs" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".WSF" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".WSH" = "exefile"


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Червь для платформы Windows. Распространяется копированием на все диски. Создает на каждом диске файл автозапуска autorun.inf, а также делает директории скрытыми и создает свои исполняемые копии с таким же именем и иконкой директории.

Добавляет в контекстное меню (вызываемое по правой кнопке мыши) пункт "Scan for viruses by Bkav2006". При запуске Редактора реестра (regedit32.exe) может завершить сеанс работы администратора.

Проявляется визуально: вокруг указателя мыши вращается мигающая салатовая точка.