Win32.HLLM.Hazafi.50702

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.
Написан на языке Assembler. Упакован при помощи UPX. Размер в запакованном виде - 15374,в распакованном - 50702 байта.
Инсталляция
При первом запуске выводит окошко с заголовком "Windows Security" и сообщением :"Windows has blocked access to this image"
После запуска копирует свой файл в системный каталог Windows. Имя файла имеет вид
Symantec_Update-xxxxx.exe, где ххххх генерируется случайным образом.
Кроме того, примерно раз в секунду вирус сохраняет себя под другим именем такого же вида, запускает свою сохранённую копию и прекращает
работу своей текущей копии. Таким образом он пытается не допустить закрытия своего процесса с помощью Task Manager'a и подобных программ. 
Червь регистрирует себя в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "__ZF5"="%system%\[имя файла]"
Он создает свой собственный ключ в системном реестре [HKEY_LOCAL_MACHINE\Software\Microsoft\__ZF5], 
где хранит следующую информацию
"DF"  - путь до текущей рабочей копии червя
"jxx" - персональные данные пользователя\почтовые адреса\пути к созданным червём файлам, содержащим найденные почтовые адреса
        xx - произвольное цифро-буквенное окончание
"uxx" - пути к найденным червём файлам, содержащие в своем имени одну их строчек: 
        reged
        msconfig
        task
	Червь открывает их, таким образом препятствуя их запуску. 
	xx - произвольное цифро-буквенное окончание
Также червь создает уникальный идентификатор "__ZF5" для определения своего присутствия в системе.
Пытается прекратить работу в памяти следующих процессов:
nmain.exe
Luall.exe
nod32.exe
gcasDtServ.exe
nod32krn.exe
nod32kui.exe
AVLTMAIN.EXE
MRT.exe
gcasServ.exe
avginet.exe
inetupd.exe
fpavupdm.exe
Updater.exe
pcclient.exe
F-StopW.exe
drwebupw.exe
QH32.EXE
QHM32.EXE
LIVEUP.exe
savmain.exe
savprogess.exe
nod32.exe
bdmcon.exe
bdlite.exe
McUpdate.exe
mcmnhdlr.exe
VBInstTmp.exe
vbcmserv.exe
vbcons.exe
fspex.exe
После остановки данных процессов, удаляет их файлы с диска.
Вирус пытается отключить мониторинг следующих антивирусов 
KasperskyAntiVirus
McAfeeAntiVirus
PandaAntiVirus
SophosAntiVirus
SymantecAntiVirus
TrendAntiVirus
Изменяя значения соответствующих ключей в ветви реестра [HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Monitoring\]
Также пытается остановить сервисы: 
Windows Firewall/Internet Connection Sharing (ICS)
AMON
Security Center
Ставит бэкдор на порт 8293, может сгружать и исполнять файлы.
Размножение через email
Червь ищет email-адреса в файлах с расширениями:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
Игнорируется отправка писем на адреса, содержащие строки:
google
sale
service
info
help
admi
webm
micro
msn
hotm
suppor
soft.
zonela
Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.
Пример содержания письма:
From: Monica Lembar
Subject: MSN Postcard
			    STAR  WARS 
                          ,, Hi there ,,
 
There's a star wars postcard waiting for you, from Monica Lembar.
Just click the link below to pick up your personal message:
greeting.index.pict2567.jpg
(If you cannot view the image by clicking on the link, copy and paste
the attachment picture into your browser). 
Best regards: http://www.jedinet.com 
 
ImageSize:   15Kb    
Virus & Spam Scan: V
К письму прикреплено вложение размером 15503 байт, которое представляет из 
себя .zip архив со случайным именем, содержащий файл с одним из расширений:
cmd
scr
pif
com
 
Размножение через локальную и файлообменные сети
Червь копирует себя  во все папки, в имени которых встречаются строки:
share
upload
music
startup
Имя файла червя выбирается из следующего списка:
Adobe Acrobat 8.0.exe
Divx Player 7.0.exe
Также червь пытается копировать себя во все найденные общие папки.