Email-Worm.VBS.Timofonica

Technické údaje

Tento internetový červ se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z postižených počítačů. Během šíření používá červa MS Outlook a odesílá se na všechny adresy, které jsou uloženy v adresáři MS Outlook. Výsledkem je, že infikovaný počítač odešle tolik zpráv, kolik adres je uloženo v seznamu kontaktů aplikace MS Outlook.

Červ je napsán v skriptovacím jazyce "Visual Basic Script" (VBS). Pracuje pouze na počítačích, ve kterých byl nainstalován program Windows Scripting Host (WSH). V systémech Windows 98 a Windows 2000 je standardně nainstalována služba WHS. Chcete-li se šířit, červa přistupuje k aplikaci MS Outlook a používá své funkce a seznamy adres. Toto je k dispozici pouze v aplikaci Outlook 98/2000, takže se červ může šířit pouze v případě, že je nainstalována jedna z těchto verzí aplikace MS Outlook.

Při spuštění zasílá červec své kopie e-mailem a propustí program Trojan.

Šíření

Červ přijde do počítače jako e-mail s připojeným VBS souborem, který je samotným červem. Zpráva obsahuje následující informace:

Předmět :

TIMOFONICA

Tělo zprávy :

Důsledkem je, že se monopolní telefonní síť neobtěžuje, protože se jedná o mobilní telefony, které jsou využívány. En el documento adjunto existente opinions, pruebas y direcciones web con información que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock ireal, atd. Tambi�n habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales . Explica tambi�n el por qu� del fracaso en Holandština a qu� hizo para adquirir el portál Lycos. Související odkazy jsou k dispozici na webových stránkách, které obsahují informace o tématech, informacech, dokumentech apod. Souhrnné informace, které jsou důležité, se vztahují k vašim požadavkům. .

Název souboru :

TIMOFONICA.TXT.vbs

V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se název souboru připojeného souboru zobrazí jako "TIMOFONICA.TXT".

Aktivuje se uživatel (dvojitým kliknutím na připojený soubor), červa otevírá MS Outlook, získá přístup k adresáři, načte všechny adresy a všechny zprávy odesílá s připojenou kopií. Předmět zprávy, tělo a připojený název souboru jsou stejné jako výše.

Navíc v každé odeslané infikované zprávě zasílá červa další zprávu na náhodně generovanou (číselnou) adresu na hostiteli "koreo.movistar.net", například "639867159@correo.movistar.net". Zpráva obsahuje následující informace:

Předmět :

TIMOFONICA

Tělo :

inform que: Telef �nica te est� enga�ando.

Ve skutečnosti je "koreo.movistar.net" SMS brána, která posílá SMS zprávy na telefonní čísla. Číslo je předpona e-mailové adresy ve zprávě.

V důsledku toho se červ pokusí spamat lidi se zprávami SMS. Červ zasílá tolik SMS zpráv na náhodně vybraná čísla, protože v adresáři jsou uloženy e-maily (červ zasílá SMS zprávu na každou infikovanou e-mailovou zprávu) a také instaluje program Trojan.

Instalace programu Trojan

Chcete-li nainstalovat program Trojan do systému, vytvoří worm soubor "Cmos.com" v adresáři systému Windows a do tohoto souboru zapíše kód (který je uložen v těle červů). Červ potom zaregistruje tento soubor v systémovém registru v sekci automatického spuštění:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com

Během příštího spouštění systému Windows trvá Trojan kontrola, vymaže informace CMOS a poškodí informace na lokálních discích.

Červ vytváří soubor "C: TIMOFONICA.TXT" s následujícím obsahem:

Komentáři
…. Tarifa plana de 6000 bodů / mes. Extorsi�n. Zásada č. 1.998 je spojena s tím, že dochází k nepravidelnému zneužívání informací, které se vyskytují v okamžiku, kdy dochází k narušení bezpečnosti internetu. Materiály komprese, které jsou součástí dodávky, jsou pero a faktura del proveedor. …. Jestli si přejete si Timofonica (k finskému kousku v terénu), kýžená solná jídla na ONG, není pravda, že je to tipo de facto solidario, es mas, me parece misero y ridikula la kandidat de un millon de pesetas .. Son unos ridiculos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una pekea subidita en las acciones de Terra en Bolsa . Total, ke Terra no son la Hermanitas de los Pobres (pobřežní monty, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podržíte se na to, že jste obtěžkáni, ke kontaminaci proti Timofonii, k protestám proti viru, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGÁDO UNA VEZ TRAS OTRA !! SI SI KE SE LO GANAN A PULSO !! Lo dicho, todo lo gage a telefonica SUX, o en castellano tradicional, APESTA! ….

Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Návštěvnost je stažena. Est�s inivitado.

Potom červa modifikuje systémový registr pro zobrazení tohoto souboru (v okně Poznámkový blok) namísto spuštění libovolného souboru VBS.

Chcete-li obnovit normální funkcionalitu pro přidružení souborů VBS, můžete v příkazovém řádku spustit následující instrukce:

 WSCRIPT // H: WSCRIPT