Первые три червя Kelvir.B, Kelvir.C и Fatso.A - разработаны для быстрого распространения через приложение MSN Messenger. Эти черви попадают на компьютеры в сообщении, которое содержит ссылку на Интернет-адрес. Если пользователь нажимает на ссылку, файлы, содержащие код этих червей скачиваются и устанавливаются на компьютер.
Kelvir.B и Kelvir.C выполняют различные действия на заражаемых компьютерах, включая следующие:
- Отправка сообщений на контакты MSN Messenger.
- Скачивание нескольких версий троянцев Gaobot или Sdbot с веб-страницы, которые позволяют хакерам получать удаленный контроль над зараженным компьютером через каналы IRC-чата.
Fatso.A распространяется через систему обмена мгновенными сообщениями MSN Messenger, а также через пиринговые (P2P) программы обмена файлами. На заражаемых компьютерах он завершает процессы, принадлежащие определенным утилитам безопасности, например таким, как некоторые антивирусы и межсетевые экраны, оставляя зараженный компьютер уязвимым к атакам прочих вредоносных программ. Fatso.A также изменяет конфигурацию системы так, чтобы он записывался на все компакт диски, записываемые на компьютере.
Любопытной деталью в поведении Fatso.A является то, что он продолжает кибер-войну между авторами вирусов, которая началась с появлением червя Assiral.A, который отображал текст, содержащий нападки на червей Bropia. В ответ, Fatso.A создает файл под названием Message to n00b LARISSA.txt на зараженных компьютерах, который содержит недружелюбное послание автору Assiral, подписанное Skydevil.
Четвертый червь в сегодняшнем отчете - Sober.O, который распространяется по электронной почте в сообщении, которое может быть написано на немецком, если расширение почтового домена является одним из следующих: de (Германия), ch (Швейцария), at (Aвстрия) или li (Лихтенштейн), или на английском языке.
Когда он заражает компьютер, Sober.O ищет адреса электронной почты в файлах с определенными расширениями. Затем Sober.O отсылает себя на них, используя собственный SMTP-механизм. Более того, при запуске Sober.O открывает Блокнот и выводит текст на экран.
Первый из двух троянцев в сегодняшнем отчете - Ruzes.A, который собирает адреса электронной почты из файлов с определенными расширениями на зараженном компьютере. Затем он отправляет эти адреса на Интернет-адрес.
Ruzes.A скачивается Downloader.BBN, другим недавно появившимся троянцем, который очень похож на прочие версии своего семейства.