Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Интернет-червь, распространяющийся по каналам IRC. Червь также имеет процедуры для распространения в электронных письмах, но они не работают из-за ошибок в коде червя.

Проникновение на компьютер

Автор червя поместил зараженную HTML страницу на сайте www.geocities.com. Заголовок страницы:

<< THE 40 WAYS WOMEN FAIL IN BED

Червь “Jer” использует “топорный” метод проникновения на компьютер. На веб-сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на “дыры в голове”, т.е. что пользователь автоматически ответит “да”, чтобы отвязаться от назойливой скрипт-программы. Тем самым он пропустит на свой компьютер Интернет-червя.

2 июля 2000 года информация об этой странице была анонсирована в нескольких каналах IRC, после чего количество посещений этой страницы превысило 1000 за первый день. К счастью, червь не может быстро распространяться из-за ошибок в коде рассылки писем.

Зараженная HTML страница содержит VBS-скрипт (тело червя), который автоматически выполняется при открытии страницы и червь активизируется. Червь создает копию зараженной HTML страницы в системном каталоге Windows с именем JER.HTM и регистрирует ее в системном реестре в секции автозапуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = “JER.HTM”

В результате червь автоматически активизируется при каждой загрузке Windows.

Распространение

Затем червь переходит в каталог C:MIRC и, если такой каталог существует, создает в нем файл SCRIPT.INI. Этот файл содержит команды которые исполняет клиент mIRC во время своей работы. Червь записывает в этот файл команды, которые отсылают файл JER.HTM на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер. Кроме того, эти команды предоставляют доступ к локальному диску тому, кто написал в IRC канале указанное в команде кодовое слово.

Деструктивное воздействие

Червь отключает некоторые функции системы:

Отображение значков на рабочем столе
Поиск файлов
Настройку сетевого окружения
Возможность выключить компьютер

Также меняется информация о регистрации Windows:

Пользователь: I Love You, Min
Организация: GinsengBoyо 2000

Нейтрализация червя

Чтобы восстановить работоспособность системы нужно восстановить измененные червем ключи системного реестра.

ВНИМАНИЕ: Изменять ключи системного реестра рекомендуется только опытным пользователям. Некорректное изменение может привести к серьезным проблемам и возможно к необходимости переустановки Windows. Информацию о том, как изменять ключи системного реестра, можно найти в справке программы Registry
Editor (REGEDIT.EXE), пункт “Changing Keys And Values”.

Следующие ключи должны быть удалены из системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose

Значения этих ключей должны системного реестра быть исправлены на правильные:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – версия Windows (например “Windows 98”).

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – имя пользователя, на которого зарегистрирована эта копия Windows

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – название организации, на которую зарегистирована эта копия Windows

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	HTML
Описание	Technical Details Интернет-червь, распространяющийся по каналам IRC. Червь также имеет процедуры для распространения в электронных письмах, но они не работают из-за ошибок в коде червя. Проникновение на компьютер Автор червя поместил зараженную HTML страницу на сайте www.geocities.com. Заголовок страницы: << THE 40 WAYS WOMEN FAIL IN BED Червь “Jer” использует “топорный” метод проникновения на компьютер. На веб-сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на “дыры в голове”, т.е. что пользователь автоматически ответит “да”, чтобы отвязаться от назойливой скрипт-программы. Тем самым он пропустит на свой компьютер Интернет-червя. 2 июля 2000 года информация об этой странице была анонсирована в нескольких каналах IRC, после чего количество посещений этой страницы превысило 1000 за первый день. К счастью, червь не может быстро распространяться из-за ошибок в коде рассылки писем. Зараженная HTML страница содержит VBS-скрипт (тело червя), который автоматически выполняется при открытии страницы и червь активизируется. Червь создает копию зараженной HTML страницы в системном каталоге Windows с именем JER.HTM и регистрирует ее в системном реестре в секции автозапуска: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = “JER.HTM” В результате червь автоматически активизируется при каждой загрузке Windows. Распространение Затем червь переходит в каталог C:MIRC и, если такой каталог существует, создает в нем файл SCRIPT.INI. Этот файл содержит команды которые исполняет клиент mIRC во время своей работы. Червь записывает в этот файл команды, которые отсылают файл JER.HTM на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер. Кроме того, эти команды предоставляют доступ к локальному диску тому, кто написал в IRC канале указанное в команде кодовое слово. Деструктивное воздействие Червь отключает некоторые функции системы: Отображение значков на рабочем столе Поиск файлов Настройку сетевого окружения Возможность выключить компьютер Также меняется информация о регистрации Windows: Пользователь: I Love You, Min Организация: GinsengBoyо 2000 Нейтрализация червя Чтобы восстановить работоспособность системы нужно восстановить измененные червем ключи системного реестра. ВНИМАНИЕ: Изменять ключи системного реестра рекомендуется только опытным пользователям. Некорректное изменение может привести к серьезным проблемам и возможно к необходимости переустановки Windows. Информацию о том, как изменять ключи системного реестра, можно найти в справке программы Registry Editor (REGEDIT.EXE), пункт “Changing Keys And Values”. Следующие ключи должны быть удалены из системного реестра: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose Значения этих ключей должны системного реестра быть исправлены на правильные: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – версия Windows (например “Windows 98”). HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – имя пользователя, на которого зарегистрирована эта копия Windows HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – название организации, на которую зарегистирована эта копия Windows
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.HTML.Jer

Technical Details

Проникновение на компьютер

Распространение

Деструктивное воздействие

Нейтрализация червя