Email-Worm.JS.Nevezed

Technical Details

Почтовый вирус-червь.

Червь написан на Java Script (JS-файл), имеет размер около 4K.

Инсталляция

При запуске червь инсталлирует себя в систему: копирует себя с именем «StartUp.js» в в каталог автозапуска Windows, кроме этого делает свою копию с именем «CmdWsh32.js» и регистрирует
этот файл в системном реестре как Java-class.
Также червь создает свою резервную копию «Temporary.js» в корневом каталоге других дисков зараженного компьютера.

Распространение

Червь рассылает свои копии при помощи программы Microsoft Outlook по всем адресам, содержащимся в адресной книге. Данные письма имеют один из следующих заголовков:

Hello имя адресата
Hey имя адресата
Fwd: Hey You!
Fwd: Check this!
Fwd: Just Look
Fwd: Take a look!
Fwd: Loop at this!
Fwd: Check this out!
Fwd: It’s Free!
Fwd: Look!
Fwd: Free Mp3s!
Fwd: Here you go!
Fwd: Have a look!
Look имя адресата!
Fwd: Read This!

Тело письма состоит из текста:

Hello!

Check out this great list of mp3 sites that I included in the attachments!
I can get any Mp3 file that I want from these sites, and its free!
And please don’t be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell!
Enjoy !

и вложенного файла, с произвольным именем:

Free_Mp3s.js
Fwd_Mp3s.js
Mp3_Sites.js
Mp3_Web.js
Mp3_List.js
Mp3_Pages.js
Web_Mp3s.js
Mp3-Sites.js
Fwd-Mp3s.js
Mp3-Fwd.js
Fwd-Sites.js