Kaspersky Threats — BubbleBoy

Класс

Платформа

Описание

Technical Details

Этот червь распространяется по Интернет в письмах электронной почты.
Зараженные письма не имеют прикрепленных файлов — червь использует несколько
приемов для запуска своего кода прямо из текста письма. Когда пользователь
открывает письмо чтобы его прочесть, червь активизируется, получает доступ к
ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты
из адресной книги Outlook и отправляет по этим адресам зараженные письма
(Таким же образом, как это делает вирус «Macro.Word97.Melissa»).

Это первый известный интернет-червь, который распространяется в письмах без
присоединенных к письму файлов. В ранее известных, пользователь должен был
открыть присоединенный к письму файл, чтобы код червя активизировался. Этот
же червь активизируется в момент, когда пользователь открывает само письмо.

Используемые приемы

Чтобы распространять свои копии червь использует два нестандартных приема.
Первый прием — червь использует возможность MS Outlook создавать письма в
формате HTML. Письма в этом формате могут содержать скрипты, которые будут
автоматически выполнены в момент, когда пользователь откроет письмо.

Червь использует это, чтобы активизироваться сразу при открытии письма.

Другой прием червь использует, чтобы обойти настройки безопасности в Internet
Explorer. Для этого он использует уже известную брешь в защите Internet
Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability».

Эта брешь дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать
HTA-файл (HTML-приложение, новый тип появившийся в IE5), который содержит
основной код червя. Этот файл создается в каталоге автозагрузки Windows и
как следствие запускается при следующем старте Windows. Будучи запущеным из
файла на локальном диске компьютера червь получает доступ к ресурсам
компьютера, берет адреса электронной почты из адресной книги Outlook и
отправляет по этим адресам зараженные письма.

Технические детали

Когда пользователь открывает зараженное письмо, скрипт, содержащийся
внутри письма, автоматически активизируется и выполняется. Этот скрипт
создает (используя брешь в защите) файл «UPDATE.HTA» в каталоге
«C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать
и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (Имя каталога
автозагрузки для испанской версии Windows).

Этот файл «UPDATE.HTA» содержит основной код червя. При следующем старте
Windows этот файл будет исполнен так как он находится в каталоге автозагрузки.
Червь имеет небольшую ошибку: он предполагает что Windows всегда установлена
в каталоге C:WINDOWS, и если это не так, червь не может создать файл и как
следствие не может далее размножаться.

Когда код червя в файле «UPDATE.HTA» получает управление, он запускает
программу Outlook со скрытым окном и создает в ней письма адресованные
всем, чьи адреса хранятся в адресной книге Outlook. Червь создает письма
в формате HTML и включает в них свой скрипт. Созданные письма имеют тему
«BubbleBoy back!», и текст письма:

The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

После того как письма были отправлены, чтобы исключить повторную отправку
писем, червь создает в системном реестре новый ключ:

«HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy» = «OUTLOOK.BubbleBoy 1.0 by Zulu»

В конце червь оставляет на экране окно с сообщением:

System error, delete «UPDATE.HTA» from the startup folder to solve this
problem.

Червь также меняет данные регистрации Windows (эта процедура выполняется в
момент когда скрипт в UPDATE.HTA получает управление):

RegisteredOwner = «BubbleBoy»
RegisteredOrganization = «Vandelay Industries»

Защита

Компанния Microsoft выпустила дополнение которое устраняет брешь в защите
(«Scriptlet.Typelib» security vulnerability). Мы рекомендуем Вам посетить
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить
это дополнение.

Если Вы не используете HTML-приложения (HTA-файлы) в своей работе, есть
еще один способ обезопасить себя от вирусов, использующих «Scriptlet.Typelib»
security vulnerability. Для этого надо удалить ассоциацию к расширению .HTA
Чтобы сделать это нужно выполнить следующие действия:

1. Открыть окно «My Computer(Мой компьютер)» дважды щелкнув на значке
«My Computer(Мой компьютер)» на рабочем столе.

2. В меню выбрать пункт «View(Вид)» -> «Options…(Параметры…)».

3. На закладке «File Types(Типы файлов)» в списке «Registered file types
(Зарегистрированные типы файлов)» выбрать «HTML Applicaton».

4. Щелкнуть на кнопке «Remove(Удалить)» и подтвердить действие.

5. Закрыть диалоговое окно настроек.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Этот червь распространяется по Интернет в письмах электронной почты. Зараженные письма не имеют прикрепленных файлов — червь использует несколько приемов для запуска своего кода прямо из текста письма. Когда пользователь открывает письмо чтобы его прочесть, червь активизируется, получает доступ к ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма (Таким же образом, как это делает вирус «Macro.Word97.Melissa»). Это первый известный интернет-червь, который распространяется в письмах без присоединенных к письму файлов. В ранее известных, пользователь должен был открыть присоединенный к письму файл, чтобы код червя активизировался. Этот же червь активизируется в момент, когда пользователь открывает само письмо. Используемые приемы Чтобы распространять свои копии червь использует два нестандартных приема. Первый прием — червь использует возможность MS Outlook создавать письма в формате HTML. Письма в этом формате могут содержать скрипты, которые будут автоматически выполнены в момент, когда пользователь откроет письмо. Червь использует это, чтобы активизироваться сразу при открытии письма. Другой прием червь использует, чтобы обойти настройки безопасности в Internet Explorer. Для этого он использует уже известную брешь в защите Internet Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability». Эта брешь дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл (HTML-приложение, новый тип появившийся в IE5), который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и как следствие запускается при следующем старте Windows. Будучи запущеным из файла на локальном диске компьютера червь получает доступ к ресурсам компьютера, берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма. Технические детали Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл «UPDATE.HTA» в каталоге «C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (Имя каталога автозагрузки для испанской версии Windows). Этот файл «UPDATE.HTA» содержит основной код червя. При следующем старте Windows этот файл будет исполнен так как он находится в каталоге автозагрузки. Червь имеет небольшую ошибку: он предполагает что Windows всегда установлена в каталоге C:WINDOWS, и если это не так, червь не может создать файл и как следствие не может далее размножаться. Когда код червя в файле «UPDATE.HTA» получает управление, он запускает программу Outlook со скрытым окном и создает в ней письма адресованные всем, чьи адреса хранятся в адресной книге Outlook. Червь создает письма в формате HTML и включает в них свой скрипт. Созданные письма имеют тему «BubbleBoy back!», и текст письма: The BubbleBoy incident, pictures and sounds http://www.towns.com/dorms/tom/bblboy.htm После того как письма были отправлены, чтобы исключить повторную отправку писем, червь создает в системном реестре новый ключ: «HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy» = «OUTLOOK.BubbleBoy 1.0 by Zulu» В конце червь оставляет на экране окно с сообщением: System error, delete «UPDATE.HTA» from the startup folder to solve this problem. Червь также меняет данные регистрации Windows (эта процедура выполняется в момент когда скрипт в UPDATE.HTA получает управление): RegisteredOwner = «BubbleBoy» RegisteredOrganization = «Vandelay Industries» Защита Компанния Microsoft выпустила дополнение которое устраняет брешь в защите («Scriptlet.Typelib» security vulnerability). Мы рекомендуем Вам посетить http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить это дополнение. Если Вы не используете HTML-приложения (HTA-файлы) в своей работе, есть еще один способ обезопасить себя от вирусов, использующих «Scriptlet.Typelib» security vulnerability. Для этого надо удалить ассоциацию к расширению .HTA Чтобы сделать это нужно выполнить следующие действия: 1. Открыть окно «My Computer(Мой компьютер)» дважды щелкнув на значке «My Computer(Мой компьютер)» на рабочем столе. 2. В меню выбрать пункт «View(Вид)» -> «Options…(Параметры…)». 3. На закладке «File Types(Типы файлов)» в списке «Registered file types (Зарегистрированные типы файлов)» выбрать «HTML Applicaton». 4. Щелкнуть на кнопке «Remove(Удалить)» и подтвердить действие. 5. Закрыть диалоговое окно настроек.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.BubbleBoy

Technical Details

Используемые приемы

Технические детали

Защита