При запуске он ищет в текущем каталоге все файлы, имеющие расширения *.JPE
*.JPEG *.JPG, и записывается в их начало. После чего, переименовывает
заражённые файлы в *.EXE.
При открытии заражённого файла, вирус извлекает восстановленную картинку во
временный файл, и отображает её. После того, как пользователь закроет картинку,
временный файл уничтожается.
Кроме того, вирус так изменяет системный реестр, что при открытии
любого JPEG-файла будет происходить его заражение.
Таким образом, для полного заражения системы достаточно всего лишь одного
запуска вируса на компьютере!
восстановление
1) Удаляешь из папки Windows\system32 файл shimgvw.exe
2) Записываешь в ключ реестра HKEY_CLASSES_ROOT\jpegfile\shell\open\command
строку:
rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en %1
|
