Email-Worm.JS.Sigbug

Класс Email-Worm
Платформа JS
Описание

Technical Details

Почтовый HTML-червь. Несанкционированно рассылает себя по всему списку адресной книги. Ежегодно 31 мая в системах класса Win9x отключает графический интерфейс пользователя.

Имеет размер 1889 байт. Написан на языке JavaScript.

Инсталляция

При инсталляции вирус копирует себя под следующим именем:

C:Recycledstacey.htm

Payload

Червь заменяет подписи писем, отправляемых посредством приложения Outlook Express, при помощи следующих действий:

  1. Разрешает использование подписей из внешних файлов:
    [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
    «Signature Flags» = «3»
  2. Дает команду Outlook Express использовать подпись под номером «00000000»:
    [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
    «Default Signature» = «00000000»
  3. Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла:
    [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures0000000]
    «name» = «Signature #1»
    «type» = «2»
    «text» = «»
    «file» = «C:RECYCLEDSTACEY.HTM»

    При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза «Check This Out!», а телом — текст из файла «C:Recycledstacey.htm».

    Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно:

    [HKCUSoftwareJS.Stacey]
    "Mailed" = "Yup!"

    При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя.

    Removal instructions

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

    1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    2. Удалить следующие ключи системного реестра:

      [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0]
      «Signature Flags» = «3»

      [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures]
      «Default Signature» = «00000000»

      [HKCUIdentities%ID_пользователя%SoftwareMicrosoftOutlook Express5.0signatures 00000000]
      «name» = «Signature #1»
      «type» = «2»
      «text» = «»
      «file» = «C:RECYCLEDSTACEY.HTM»

      [HKCUSoftwareJS.Stacey]

    3. Удалить файл:
      C:Recycledstacey.htm
    4. Изменить в Outlook Express настройки автоматически подставляемой подписи.
    5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).