Компания Symantec объявила о распространении через электронную почту нового сетевого червя W32.Tendoolf, который представляет собой вариант вируса Backdoor.SubSeven.
Тема электронного письма, по информации Symantec, выглядит как "Thoughts...", в теле послания содержится текст "I just found this program, and, i dont know why... but it reminded me of you. check it out" и прикрепленный файл Cute.exe. Заражению подвергаются все операционные системы семейства Windows.
Вредоносное действие червя W32.Tendoolf заключается в рассылке зараженных писем по всем адресам из адресной книги Outlook, а также в открытии несанкционированного доступа к зараженному компьютеру.
При запуске файла cute.exe вирус копируется в ядро windows и добавляет значение
"Windows C:WINDOWSKERNEL32.EXE" в следующие строки реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
Кроме того, вирус вносит дополнительные записи в загрузочные файлы Windows. Строка файла System.ini изменяется с "shell=Explorer.exe" на "shell=explorer.exe", а строка файла Win.ini изменяется с "load=" на "load=C:WINDOWSKERNEL32.EXE".
Для ручного удаления вируса W32.Tendoolf необходимо удалить все зараженные файлы, добавленные в реестр значения, а также текст, внесенный в оба загрузочных файла Windows.
