Kaspersky Threats

Class

Platform

Description

Technical Details

This is an Internet VBS worm that spreads attached to e-mails. To spread the
worm opens MS Outlook, gets access to address book, gets all addresses from
there and sends itself to all these addresses. The infected messages have:

Subject: “My-Linong….”
Body: “True Story….”
File name: mylinong.TXT.vbs

When an infected file is run (when a user clicks on attached file and
activates it) the worm code gets control. First of all it drops (installs)
its components to the system:

%windows%mylinong.txt.shs
%windows%SYSTEMKern32Lin.vbs
%windows%Vbrun32DLL.vbs
%windows%SYSTEMmylinong.TXT.vbs

and registers some of them in auto-run registry keys:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Kern32lLin = %windows%SYSTEMMSKernel32.vbs
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Vbrun32DLL = %windows%Win32DLL.vbs

The worm also changes the Internet Explorer start page.

The worm creates directories:

�:LINONG I LOVE YOU MY FOLDER1
�:LINONG I LOVE YOU MY FOLDER2
�:LINONG I LOVE YOU MY FOLDER3

and so on till 600:

�:LINONG I LOVE YOU MY FOLDER600

The worm then creates the %TEMP%mylinong.txt text file and opens it
(by default NOTEPAD.EXE opens that file and displays it):


 @@@@   @@@@            @@@@@    @@@      @@@  @@@@@@@@@    @@@    @@@   @@@@@   @@@     @@@
  @@     @@           @@     @@   @@      @@    @@           @@    @@  @@     @@  @@     @@
  @@     @@           @@     @@   @@      @@    @@            @@  @@   @@     @@  @@     @@
  @@     @@           @@     @@    @@    @@     @@@@@@         @@@@    @@     @@  @@     @@
  @@     @@           @@     @@     @@  @@      @@              @@     @@     @@  @@     @@
  @@     @@       @   @@     @@      @@@@       @@              @@     @@     @@  @@     @@
 @@@@   @@@@@@@@@@      @@@@@         @@       @@@@@@@@@        @@       @@@@@      @@@@@

 @@@@         @@@@  @@@  @@@@      @@@@@   @@@  @@@@    @@@@@@
  @@           @@    @@ @   @@   @@     @@  @@ @   @@  @@    @@
  @@           @@    @@     @@   @@     @@  @@     @@  @@
  @@           @@    @@     @@   @@     @@  @@     @@  @@  @@@@@
  @@           @@    @@     @@   @@     @@  @@     @@  @@    @@
  @@        @  @@    @@     @@   @@     @@  @@     @@  @@    @@
 @@@@@@@@@@@  @@@@  @@@     @@@    @@@@@   @@@     @@@  @@@@@@

 I Love You, MyLinong - 5it3Ninty8

Find out the statistics of the threats spreading in your region

Class	Email-Worm
Platform	VBS
Description	Technical Details This is an Internet VBS worm that spreads attached to e-mails. To spread the worm opens MS Outlook, gets access to address book, gets all addresses from there and sends itself to all these addresses. The infected messages have: Subject: “My-Linong….” Body: “True Story….” File name: mylinong.TXT.vbs When an infected file is run (when a user clicks on attached file and activates it) the worm code gets control. First of all it drops (installs) its components to the system: %windows%mylinong.txt.shs %windows%SYSTEMKern32Lin.vbs %windows%Vbrun32DLL.vbs %windows%SYSTEMmylinong.TXT.vbs and registers some of them in auto-run registry keys: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Kern32lLin = %windows%SYSTEMMSKernel32.vbs HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Vbrun32DLL = %windows%Win32DLL.vbs The worm also changes the Internet Explorer start page. The worm creates directories: �:LINONG I LOVE YOU MY FOLDER1 �:LINONG I LOVE YOU MY FOLDER2 �:LINONG I LOVE YOU MY FOLDER3 and so on till 600: �:LINONG I LOVE YOU MY FOLDER600 The worm then creates the %TEMP%mylinong.txt text file and opens it (by default NOTEPAD.EXE opens that file and displays it): @@@@ @@@@ @@@@@ @@@ @@@ @@@@@@@@@ @@@ @@@ @@@@@ @@@ @@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@@ @@@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @ @@ @@ @@@@ @@ @@ @@ @@ @@ @@ @@@@ @@@@@@@@@@ @@@@@ @@ @@@@@@@@@ @@ @@@@@ @@@@@ @@@@ @@@@ @@@ @@@@ @@@@@ @@@ @@@@ @@@@@@ @@ @@ @@ @ @@ @@ @@ @@ @ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@@@@@@@ @@@@ @@@ @@@ @@@@@ @@@ @@@ @@@@@@ I Love You, MyLinong - 5it3Ninty8
	Find out the statistics of the threats spreading in your region

Email-Worm.VBS.Linong

Technical Details