Email-Worm.JS.Gigger

Класс Email-Worm
Платформа JS
Описание

Technical Details

Деструктивный вирус-червь. Распространяется через Outlook, Outlook Express и mIRC. Червь написан на скрипт языках JavaScript и Visual Basic Script (VBS).

Вирус содержит опасные деструктивные функции которые могут отформатировать системный диск при перезапуске компьютера и удалить все файлы на доступных дисках.

Инсталляция

При запуске червь инсталлирует себя в систему. При этом он создает несколько файлов:

C:Bla.hta
C:B.htm
C:WindowsSamplesWshCharts.js
C:WindowsHelpMmsn_offline.htm

Далее червь ищет признак заражения в системном реестре Windows, и если его нет — создает его.

HKEY_CURRENT_USERSoftwarethegravebadusersv2.0

Червь ищет подключенные сетевые диски и копирует себя на них как:

WindowsStart MenuProgramsStartUpMsoe.hta


Рассылка писем

При рассылке зараженных писем червь использует функции MS Outlook и MS Outlook Express.

Письмо отправленное червем выглядит следующим образом:

Subject: Outlook Express Update
Body: MSNSoftware Co.
Attachment: mmsn_offline.htm

Червь также отсылает письмо на фиксированный адрес электронной почты.

Это письмо содержит список адресов по которым были разосланы зараженные письма.


Рассылка через mIRC

Червь ищет каталог в котором установлен mIRC клиент и создает в нем файл «script.ini».

После этого зараженный mIRC-клиент будет отсылаеть копию червя всем пользователям входящим в канал.

Имя файла отсылаемого через mIRC: «mmsn_offline.htm»


Деструктивные функции

Червь добавляет в файл Autoexec.bat команду, после выполнения которой происходит форматирование диска С: во время перезагрузки компьютера для операционных систем Windows 95/98.

Также червь проверяет системную дату и если день равен 1, 5, 10, 15, 20, то он удаляет все файлы на всех доступных дисках (создает файлы с таким же именем и нулевой длины).