Вирус-червь,  распространяющий  свои копии через Интернет "Ultra.exe".
При  запуске  копирует вирус в каталог Windows с именем android.dll (этот
файл  затем используется как оригинал при рассылке зараженных сообщений),
затем  червь  создает  на  диске  свою DLL-компоненту с именем Ultras.dll
(Взято  из вируса Suppl). Затем червь записывает команды переименования в
файл  WININIT.INI  (эти  команды  обрабатываются  Windows  при  очередной
перезагрузке). Данные команды переименовывают библиотеку сетевого доступа
Windows   WSOCK32.DLL   в   имя   WSOCK33.DLL   и   замещают  WSOCK32.DLL
DLL-компонентой  червя  из  файла  Ultras.dll.  В  результате  этого  при
последующей  загрузке  Windows активизирует и использует код червя вместо
"настоящей"  библиотеки.  При  инициализации  DLL-файла  червя происходит
перехват  всех  функций  сетевой  библиотеки  WSOCK32. При этом червь при
вызове   любых   функций   WSOCK32  передает  управление  на  "настоящую"
библиотеру  (которая грузится из файла WSOCK33.DLL), а для функций "send"
и  "connect"  вызывает  дополнительно  свои  обработчики. Эти обработчики
перехватывают  сообщения,  отправляемые  с  компьютера, и добавляют к ним
червя с именем Ultras.exe.

Проявление:

   В  случае,  если  "червь"  был  запущен 5 числа, меняет "обои" экрана:
заполняет экран текстом "ANDROID".

   Через  неделю после заражения компьютера червь уничтожает на локальных
и сетевых дисках файлы с расширениями:

ICO HTM JPG GIF RAR ZIP TXT DOC

Большое спасибо автору вируса Suppl за dll... e-mail me... plz

-=[U]=-