Email-Worm.Win32.Rays
Вирус Email-Worm.Win32.Rays представляет собой исполняемый файл размером 49152 байта. Написан на Basic, ничем не сжат и не зашифрован. В теле вируса виден ряд строк в формате Unicode.
Вирус размножается двумя путями - по почте и через расшаренные ресурсы. Иконка файла внешне очень похожа на иконку папки (судя по всему это она и есть), что может ввести пользователя в заблужение и он щелкнет по файлу, желая зайти в эту "папку"
В момент запуска выдает на экран сообщение "This file has been damage!" и завершает работу. Но перед выдачей сообщения он копирует исполняемый файл в папку Windows под именем Mstray.exe. В случае запуска под именем Windows\Mstray.exe он стартует без всяких сообщений и висит в памяти, никак не выдавая своего присутствия. Маскировки процесса не применяет.
После запуска вирус создает в корне диска C файлы comment.htt и desktop.ini. desktop.ini ссылается на comment.htt, а comment.htt содержит скрипт, запускающий вирус. Кроме того, вирус меняет настройки explorer -
Microsoft\Windows\CurrentVersion\Explorer\Advanced \Hidden := 0
Microsoft\Windows\CurrentVersion\Explorer\Advanced \HideFileExt := 1
Microsoft\Windows\CurrentVersion\Explorer\CabinetS tate\fullpath := 1
параметр HideFileExt ему важен, чтобы быть похожим на папку (этот параметр приводит к отключению отображения расширения файлов), а Hidden = 0 запрещает показ скрытых файлов.
Затем вирус создает ключ автозапуска Run\RavTimXP = C:\WINDOWS\FONTS\BYY.exe, копирует себя в файл BYY.exe и самоуничтожается на старом месте. Через какое-то время он копирует себя в C:\WINDOWS\HELP\DBBXY.exe, C:\WINDOWS\TEMP\WUUR.exe ... (фрагменты путей прошиты в exe файле, при каждом старте он проводит данную процедуру, причем имя все время меняется) - т.е. такие "исчезновения" и появления на новом месте под новым именем явно призваны запутать пользователя и замаскировать файл. Правда, ключ автозапуска неизменный - Run\RavTimXP, так что смысл от этого шаманства остался туманным.
Как почтовый вирус он размножается типовым образом, через почтового клиента.