При его активизации червя происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. "Лаборатория Касперского" уже получила несколько сообщений о случаях заражения данной вредоносной программой.

Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000 . При запуске основной компоненты интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.

Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.

Лаборатория Касперского обращает внимание на следующее: основные компоненты программы содержат мастер-пароль троянской программы "SubSeven", поэтому данный вирус проникает только на уже зараженные этим троянцем машины.

Источник: "Лаборатория Касперского"