Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Почтовый HTML-червь. Несанкционированно рассылает себя по всему списку адресной книги. Ежегодно 31 мая в системах класса Win9x отключает графический интерфейс пользователя.

Имеет размер 1889 байт. Написан на языке JavaScript.

Инсталляция

При инсталляции вирус копирует себя под следующим именем:

C:Recycledstacey.htm

Payload

Червь заменяет подписи писем, отправляемых посредством приложения Outlook Express, при помощи следующих действий:

Разрешает использование подписей из внешних файлов:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
«Signature Flags» = «3»
Дает команду Outlook Express использовать подпись под номером «00000000»:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
«Default Signature» = «00000000»
Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures0000000]
«name» = «Signature #1»
«type» = «2»
«text» = «»
«file» = «C:RECYCLEDSTACEY.HTM»

При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза «Check This Out!», а телом — текст из файла «C:Recycledstacey.htm».

Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно:
```
[HKCUSoftwareJS.Stacey]
"Mailed" = "Yup!"
```
При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить следующие ключи системного реестра:
  
  [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
  «Signature Flags» = «3»
  
  [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
  «Default Signature» = «00000000»
  
  [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000]
  «name» = «Signature #1»
  «type» = «2»
  «text» = «»
  «file» = «C:RECYCLEDSTACEY.HTM»
  
  [HKCUSoftwareJS.Stacey]
3. Удалить файл:
```
C:Recycledstacey.htm
```
4. Изменить в Outlook Express настройки автоматически подставляемой подписи.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Класс	Email-Worm
Платформа	JS
Описание	Technical Details Почтовый HTML-червь. Несанкционированно рассылает себя по всему списку адресной книги. Ежегодно 31 мая в системах класса Win9x отключает графический интерфейс пользователя. Имеет размер 1889 байт. Написан на языке JavaScript. Инсталляция При инсталляции вирус копирует себя под следующим именем: C:Recycledstacey.htm Payload Червь заменяет подписи писем, отправляемых посредством приложения Outlook Express, при помощи следующих действий: Разрешает использование подписей из внешних файлов: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0] «Signature Flags» = «3» Дает команду Outlook Express использовать подпись под номером «00000000»: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures] «Default Signature» = «00000000» Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures0000000] «name» = «Signature #1» «type» = «2» «text» = «» «file» = «C:RECYCLEDSTACEY.HTM» При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза «Check This Out!», а телом — текст из файла «C:Recycledstacey.htm». Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно: [HKCUSoftwareJS.Stacey] "Mailed" = "Yup!" При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя. Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить следующие ключи системного реестра: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0] «Signature Flags» = «3» [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures] «Default Signature» = «00000000» [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000] «name» = «Signature #1» «type» = «2» «text» = «» «file» = «C:RECYCLEDSTACEY.HTM» [HKCUSoftwareJS.Stacey] Удалить файл: C:Recycledstacey.htm Изменить в Outlook Express настройки автоматически подставляемой подписи. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Email-Worm.JS.Sigbug

Technical Details

Инсталляция

Payload

Removal instructions