Email-Worm.HTML.Jer

Класс Email-Worm
Платформа HTML
Описание

Technical Details

Интернет-червь, распространяющийся по каналам IRC. Червь также имеет процедуры для распространения в электронных письмах, но они не работают из-за ошибок в коде червя.

Проникновение на компьютер

Автор червя поместил зараженную HTML страницу на сайте www.geocities.com. Заголовок страницы:

<< THE 40 WAYS WOMEN FAIL IN BED

Червь «Jer» использует «топорный» метод проникновения на компьютер. На веб-сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на «дыры в голове», т.е. что пользователь автоматически ответит «да», чтобы отвязаться от назойливой скрипт-программы. Тем самым он пропустит на свой компьютер Интернет-червя.

2 июля 2000 года информация об этой странице была анонсирована в нескольких каналах IRC, после чего количество посещений этой страницы превысило 1000 за первый день. К счастью, червь не может быстро распространяться из-за ошибок в коде рассылки писем.

Зараженная HTML страница содержит VBS-скрипт (тело червя), который автоматически выполняется при открытии страницы и червь активизируется. Червь создает копию зараженной HTML страницы в системном каталоге Windows с именем JER.HTM и регистрирует ее в системном реестре в секции автозапуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = «JER.HTM»

В результате червь автоматически активизируется при каждой загрузке Windows.

Распространение

Затем червь переходит в каталог C:MIRC и, если такой каталог существует, создает в нем файл SCRIPT.INI. Этот файл содержит команды которые исполняет клиент mIRC во время своей работы. Червь записывает в этот файл команды, которые отсылают файл JER.HTM на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер. Кроме того, эти команды предоставляют доступ к локальному диску тому, кто написал в IRC канале указанное в команде кодовое слово.

Деструктивное воздействие

Червь отключает некоторые функции системы:

  • Отображение значков на рабочем столе
  • Поиск файлов
  • Настройку сетевого окружения
  • Возможность выключить компьютер

Также меняется информация о регистрации Windows:

Пользователь: I Love You, Min
Организация: GinsengBoyо 2000

Нейтрализация червя

Чтобы восстановить работоспособность системы нужно восстановить измененные червем ключи системного реестра.

ВНИМАНИЕ: Изменять ключи системного реестра рекомендуется только опытным пользователям. Некорректное изменение может привести к серьезным проблемам и возможно к необходимости переустановки Windows. Информацию о том, как изменять ключи системного реестра, можно найти в справке программы Registry
Editor (REGEDIT.EXE), пункт «Changing Keys And Values».

Следующие ключи должны быть удалены из системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose

Значения этих ключей должны системного реестра быть исправлены на правильные:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion — версия Windows (например «Windows 98»).

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner — имя пользователя, на которого зарегистрирована эта копия Windows

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization — название организации, на которую зарегистирована эта копия Windows