Worm.Win32.Banwor.a
Червь состоит из четырех файлов:
SYSHOST.exe - 195584, сжат UPX
scan.exe - 43008 байт, сжат UPX
hwin32.DLL - 22528 байт, сжат UPX
hwin16.DLL - 22528 байт, сжат UPX
все эти файлы находятся в папке System32, запускаются из ключа Run реестра.
библиотеки hwin32.DLL и hwin16.DLL на момент обнаружения антивирусы не детектировали, но без них червь не работоспособен, так как эти библиотеки применяются им для маскировки процесса.
В ходе работы червь пытается предавать почтовые сообщения, соединяясь напряму с сервером согласно прошитым в его теле параметрам. Тест письма тоже любопытен: "infected..TheBAT: ..Outlook: ..Clipboard: ..IP: *.*.*.*.......". Т.е. данный червь выполняет функции, присущие категории Trojan-SPY.
Далее червь начинает сканировать сеть, формируя адреса по алгоритму X.X.X.*, на месте звездочки - перебор чисел от 1 до 254). С каждым из хостов червяк пробует соединиться по порту 135, что характерно для червей, заражающих уязвимый ПК посредством эксплоита.