Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Деструктивный вирус-червь. Распространяется через Outlook, Outlook Express и mIRC. Червь написан на скрипт языках JavaScript и Visual Basic Script (VBS).

Вирус содержит опасные деструктивные функции которые могут отформатировать системный диск при перезапуске компьютера и удалить все файлы на доступных дисках.

Инсталляция

При запуске червь инсталлирует себя в систему. При этом он создает несколько файлов:

C:Bla.hta
C:B.htm
C:WindowsSamplesWshCharts.js
C:WindowsHelpMmsn_offline.htm

Далее червь ищет признак заражения в системном реестре Windows, и если его нет – создает его.

HKEY_CURRENT_USERSoftwarethegravebadusersv2.0

Червь ищет подключенные сетевые диски и копирует себя на них как:

WindowsStart MenuProgramsStartUpMsoe.hta

Рассылка писем

При рассылке зараженных писем червь использует функции MS Outlook и MS Outlook Express.

Письмо отправленное червем выглядит следующим образом:

Subject: Outlook Express Update
Body: MSNSoftware Co.
Attachment: mmsn_offline.htm

Червь также отсылает письмо на фиксированный адрес электронной почты.

Это письмо содержит список адресов по которым были разосланы зараженные письма.

Рассылка через mIRC

Червь ищет каталог в котором установлен mIRC клиент и создает в нем файл “script.ini”.

После этого зараженный mIRC-клиент будет отсылаеть копию червя всем пользователям входящим в канал.

Имя файла отсылаемого через mIRC: “mmsn_offline.htm”

Деструктивные функции

Червь добавляет в файл Autoexec.bat команду, после выполнения которой происходит форматирование диска С: во время перезагрузки компьютера для операционных систем Windows 95/98.

Также червь проверяет системную дату и если день равен 1, 5, 10, 15, 20, то он удаляет все файлы на всех доступных дисках (создает файлы с таким же именем и нулевой длины).

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	JS
Описание	Technical Details Деструктивный вирус-червь. Распространяется через Outlook, Outlook Express и mIRC. Червь написан на скрипт языках JavaScript и Visual Basic Script (VBS). Вирус содержит опасные деструктивные функции которые могут отформатировать системный диск при перезапуске компьютера и удалить все файлы на доступных дисках. Инсталляция При запуске червь инсталлирует себя в систему. При этом он создает несколько файлов: C:Bla.hta C:B.htm C:WindowsSamplesWshCharts.js C:WindowsHelpMmsn_offline.htm Далее червь ищет признак заражения в системном реестре Windows, и если его нет – создает его. HKEY_CURRENT_USERSoftwarethegravebadusersv2.0 Червь ищет подключенные сетевые диски и копирует себя на них как: WindowsStart MenuProgramsStartUpMsoe.hta Рассылка писем При рассылке зараженных писем червь использует функции MS Outlook и MS Outlook Express. Письмо отправленное червем выглядит следующим образом: Subject: Outlook Express Update Body: MSNSoftware Co. Attachment: mmsn_offline.htm Червь также отсылает письмо на фиксированный адрес электронной почты. Это письмо содержит список адресов по которым были разосланы зараженные письма. Рассылка через mIRC Червь ищет каталог в котором установлен mIRC клиент и создает в нем файл “script.ini”. После этого зараженный mIRC-клиент будет отсылаеть копию червя всем пользователям входящим в канал. Имя файла отсылаемого через mIRC: “mmsn_offline.htm” Деструктивные функции Червь добавляет в файл Autoexec.bat команду, после выполнения которой происходит форматирование диска С: во время перезагрузки компьютера для операционных систем Windows 95/98. Также червь проверяет системную дату и если день равен 1, 5, 10, 15, 20, то он удаляет все файлы на всех доступных дисках (создает файлы с таким же именем и нулевой длины).
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.JS.Gigger

Technical Details