Email-Worm.VBS.Horillka

技術的な詳細

この悪質なワームは、感染したメッセージに添付されたファイルの形でインターネット経由で広がります。これは、25562バイトのエンコードされたVBSスクリプトです。

Horilkaをダウンロードすると、それ自体が解読されます。

WinSys32dll.vbsという名前でWindowsシステムディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinsSys32dll。 

ウイルス大量メールは、Microsoft Outlookのアドレス帳にあるすべてのアドレスをメールします。

感染したメッセージの特徴：

メッセージヘッダー：

 ��������！ 

メッセージ本文：

 �����������������������������������������������Windows ！
 ��������������������、���������������� 。
 �������������������������� - �����、��� �������������� 
vb�js������、������������������������������� ���。
 ������������������������������������������ ������������� 
 ��������������������������。 

添付ファイル：

VBSスクリプト、

 WinSys32.dll.vbs 

メッセージが送信されると、Windowsディレクトリにあるすべての.pwl（パスワード）ファイルを含むメッセージが作成者に送信されます。

各ユーザーの構成がロードされると、メッセージが1回送信されます。

このウイルスは、すべてのディスクおよびFolderdll.vbsという名前のすべてのディレクトリに自身をコピーし、これらのファイルを隠しファイルとしてマークします。

Windowsフォルダ内の次の拡張子を持つファイルを検索します。

 .vbs
.jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
。TXT
.doc
.mp3
.wav
.dbf 

Horilkaは.vbsファイルを独自のコードで上書きします。

これは、.jpg、.jpeg、.gif、.bmpファイルを、ウイルス本体に含まれるGIF形式のグラフィックに置き換えます。

.htmファイルと.htmlファイルに次のコードを追加します。