Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске вирус извлекает из своего тела следующие файлы:
* %WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта;
* %WinDir%\c_126.nls — имеет размер 31744 байта.
Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:
[HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]
Деструктивная активность
Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe
При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
aasdf
sdfgh
!@#$
654321
123456
12345
1234
123
111
Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:
Hooksys
KWatch3
KregEx
KLPF
NaiAvFilter1
NAVAP
AVGNTMGR
AvgTdi
nod32drv
PavProtect
TMFilter
BDFsDrv
VETFDDNT
Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:
http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=
<версия ос>&IV=<версия IE>&AV=<установленные драйвера>
Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:
http://****mrw0rldwide.com/z.dat
Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.
На момент создания описания вирус загружал файлы по ссылкам:
http://down****net/css.jpg
http://down****net/wow.jpg
И сохранял их соответствующим образом:
* %Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского
как Trojan-PSW.Win32.OnLineGames.afd;
* %Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского
как Trojan-PSW.Win32.WOW.sv. | 
