Wow.VM

Признаки:
При старте создает следующие файлы:
* C:\1.HIV
* C:\2.HIV
* %Windir%\help\B41346EFA848.EXE
* %Windir%\help\B41346EFA848.DLL
* %Sysdir%\2.BAT
* LOVE.JPG.LNK и SYSTEM32.LNK - в поддиректории "Documents and Settings"\"Recent" в директории профиля текущего пользователя

В реестре создает следующие записи:
HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765}\ InProcServer32 Default = %windir%\help\B41346EFA848.dll
HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765} (Default) = SSUUDL
HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765}\ InProcServer32 ThreadingModel = Apartment

Собранную информацию о реквизитах доступа к онлайновым играм отправляет периодически по следующим адресам:
http://www.1[???]3.com/mail/upfile.asp
http://www.dr[???]c.com/opz/upfilesg.asp

Написан на языке Delphi v5.


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Троян для платформы Windows. Похищает реквизиты доступа к онлайн-играм, в частности, World of Warcraft, и отправляет их на сайт атакующего.

Поступает на компьютер в спамерской почте или другими неавтоматическими способами в файле "LOVE.JPG.LNK", при запуске отображает фотографию азиатской девушки.