Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Почтовый HTML-червь. Несанкционированно рассылает себя по всему списку адресной книги. Ежегодно 31 мая в системах класса Win9x отключает графический интерфейс пользователя.

Имеет размер 1889 байт. Написан на языке JavaScript.

Инсталляция

При инсталляции вирус копирует себя под следующим именем:

C:Recycledstacey.htm

Payload

Червь заменяет подписи писем, отправляемых посредством приложения Outlook Express, при помощи следующих действий:

Разрешает использование подписей из внешних файлов:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
“Signature Flags” = “3”
Дает команду Outlook Express использовать подпись под номером «00000000»:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
“Default Signature” = “00000000”
Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла:
[HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures0000000]
“name” = “Signature #1”
“type” = “2”
“text” = “”
“file” = “C:RECYCLEDSTACEY.HTM”

При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза “Check This Out!”, а телом — текст из файла «C:Recycledstacey.htm».

Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно:
```
[HKCUSoftwareJS.Stacey]
"Mailed" = "Yup!"
```
При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить следующие ключи системного реестра:
  
  [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
  “Signature Flags” = “3”
  
  [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
  “Default Signature” = “00000000”
  
  [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000]
  “name” = “Signature #1”
  “type” = “2”
  “text” = “”
  “file” = “C:RECYCLEDSTACEY.HTM”
  
  [HKCUSoftwareJS.Stacey]
3. Удалить файл:
```
C:Recycledstacey.htm
```
4. Изменить в Outlook Express настройки автоматически подставляемой подписи.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	JS
Описание	Technical Details Почтовый HTML-червь. Несанкционированно рассылает себя по всему списку адресной книги. Ежегодно 31 мая в системах класса Win9x отключает графический интерфейс пользователя. Имеет размер 1889 байт. Написан на языке JavaScript. Инсталляция При инсталляции вирус копирует себя под следующим именем: C:Recycledstacey.htm Payload Червь заменяет подписи писем, отправляемых посредством приложения Outlook Express, при помощи следующих действий: Разрешает использование подписей из внешних файлов: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0] “Signature Flags” = “3” Дает команду Outlook Express использовать подпись под номером «00000000»: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures] “Default Signature” = “00000000” Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures0000000] “name” = “Signature #1” “type” = “2” “text” = “” “file” = “C:RECYCLEDSTACEY.HTM” При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза “Check This Out!”, а телом — текст из файла «C:Recycledstacey.htm». Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно: [HKCUSoftwareJS.Stacey] "Mailed" = "Yup!" При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя. Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить следующие ключи системного реестра: [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0] “Signature Flags” = “3” [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures] “Default Signature” = “00000000” [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000] “name” = “Signature #1” “type” = “2” “text” = “” “file” = “C:RECYCLEDSTACEY.HTM” [HKCUSoftwareJS.Stacey] Удалить файл: C:Recycledstacey.htm Изменить в Outlook Express настройки автоматически подставляемой подписи. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.JS.Sigbug

Technical Details

Инсталляция

Payload

Removal instructions