Win32/Maldal.C

Win32:Maldal-C je dalÜφm masov∞ se posφlajφcφm wormem, napsan²m v programu Visual Basic. P°ichßzφ elektronickou poÜtou ve zprßv∞ s p°φlohou nazvanou christmas.exe.  Pro zjiÜ¥ovßnφ adres dalÜφch p°φpadn²ch ob∞tφ vyu₧φvß adresß° programu MS-Outlook. Zprßva s virem mß nßsledujφcφ vlastnosti:
Subject: Hii
Body:
     I can't describe my feelings
     But all i can say is
     Happy New Year :)
     bye
Attachment: Christmas.exe

Krom∞ Üφ°enφ nastavuje poΦßteΦnφ strßnku programu Internet Explorer na HTML strßnku autora viru. Tato strßnka pak obsahuje skript vytvo°en² v programu Javascript, kter² pro zm∞nu vypouÜtφ skriptov² virus napsan² ve VBS skriptu a instaluje skript pro program mIRC. VypuÜt∞n² VBS script se pokouÜφ smazat n∞kterΘ nainstalovanΘ antivirovΘ a bezpeΦnostnφ programy.

Po spuÜt∞nφ se worm zkopφruje do adresß°e Windows a modifikuje systΘmovΘ registry:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\ZaCker = %windows%\CHRISTMAS.EXE

HKLM\System\CurrentControlSet\Control\ComputerName\ ComputerName\ComputerName = ZaCker

HKCU\Software\Microsoft\Internet Explorer\Main\Start page = http://geocites.com/<...>/ZaCker.htm

Tyto zm∞ny znamenajφ, ₧e worm je spuÜt∞n p°i restartu, ₧e jmΘno poΦφtaΦe je zm∞n∞no na Zacker a ·vodnφ strßnka programu Internet Explorerje nastavena na v²Üe uvedenou strßnku autora. Worm takΘ vykonßvß dalÜφ destrukΦnφ Φinnost - v systΘmovΘm adresß°i Windows sma₧e vÜechny soubory s nßsledujφcφmi p°iponami: DLL, DRV, VXD a TSP.

Zdroj: Alwil software - v²robce antiviru AVAST