06.05.2002
Появился новый сетевой червь W32.Tendoolf

Компания Symantec объявила о распространении через электронную почту нового сетевого червя W32.Tendoolf, который представляет собой вариант вируса Backdoor.SubSeven.
Тема электронного письма, по информации Symantec, выглядит как "Thoughts...", в теле послания содержится текст "I just found this program, and, i dont know why... but it reminded me of you. check it out" и прикрепленный файл Cute.exe. Заражению подвергаются все операционные системы семейства Windows.

Вредоносное действие червя W32.Tendoolf заключается в рассылке зараженных писем по всем адресам из адресной книги Outlook, а также в открытии несанкционированного доступа к зараженному компьютеру.

При запуске файла cute.exe вирус копируется в ядро windows и добавляет значение "Windows C:\WINDOWS\KERNEL32.EXE" в следующие строки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices

Кроме того, вирус вносит дополнительные записи в загрузочные файлы Windows. Строка файла System.ini изменяется с "shell=Explorer.exe" на "shell=explorer.exe", а строка файла Win.ini изменяется с "load=" на "load=C:\WINDOWS\KERNEL32.EXE".
Для ручного удаления вируса W32.Tendoolf необходимо удалить все зараженные файлы, добавленные в реестр значения, а также текст, внесенный в оба загрузочных файла Windows.

Источник: Журнал "Компьютерра"