Email-Worm.VBS.BubbleBoy

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот червь распространяется по Интернет в письмах электронной почты.
Зараженные письма не имеют прикрепленных файлов — червь использует несколько
приемов для запуска своего кода прямо из текста письма. Когда пользователь
открывает письмо чтобы его прочесть, червь активизируется, получает доступ к
ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты
из адресной книги Outlook и отправляет по этим адресам зараженные письма
(Таким же образом, как это делает вирус «Macro.Word97.Melissa»).

Это первый известный интернет-червь, который распространяется в письмах без
присоединенных к письму файлов. В ранее известных, пользователь должен был
открыть присоединенный к письму файл, чтобы код червя активизировался. Этот
же червь активизируется в момент, когда пользователь открывает само письмо.

Используемые приемы

Чтобы распространять свои копии червь использует два нестандартных приема.
Первый прием — червь использует возможность MS Outlook создавать письма в
формате HTML. Письма в этом формате могут содержать скрипты, которые будут
автоматически выполнены в момент, когда пользователь откроет письмо.

Червь использует это, чтобы активизироваться сразу при открытии письма.

Другой прием червь использует, чтобы обойти настройки безопасности в Internet
Explorer. Для этого он использует уже известную брешь в защите Internet
Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability».

Эта брешь дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать
HTA-файл (HTML-приложение, новый тип появившийся в IE5), который содержит
основной код червя. Этот файл создается в каталоге автозагрузки Windows и
как следствие запускается при следующем старте Windows. Будучи запущеным из
файла на локальном диске компьютера червь получает доступ к ресурсам
компьютера, берет адреса электронной почты из адресной книги Outlook и
отправляет по этим адресам зараженные письма.

Технические детали

Когда пользователь открывает зараженное письмо, скрипт, содержащийся
внутри письма, автоматически активизируется и выполняется. Этот скрипт
создает (используя брешь в защите) файл «UPDATE.HTA» в каталоге
«C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать
и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (Имя каталога
автозагрузки для испанской версии Windows).

Этот файл «UPDATE.HTA» содержит основной код червя. При следующем старте
Windows этот файл будет исполнен так как он находится в каталоге автозагрузки.
Червь имеет небольшую ошибку: он предполагает что Windows всегда установлена
в каталоге C:WINDOWS, и если это не так, червь не может создать файл и как
следствие не может далее размножаться.

Когда код червя в файле «UPDATE.HTA» получает управление, он запускает
программу Outlook со скрытым окном и создает в ней письма адресованные
всем, чьи адреса хранятся в адресной книге Outlook. Червь создает письма
в формате HTML и включает в них свой скрипт. Созданные письма имеют тему
«BubbleBoy back!», и текст письма:


The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

После того как письма были отправлены, чтобы исключить повторную отправку
писем, червь создает в системном реестре новый ключ:


«HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy» = «OUTLOOK.BubbleBoy 1.0 by Zulu»

В конце червь оставляет на экране окно с сообщением:


System error, delete «UPDATE.HTA» from the startup folder to solve this
problem.

Червь также меняет данные регистрации Windows (эта процедура выполняется в
момент когда скрипт в UPDATE.HTA получает управление):


RegisteredOwner = «BubbleBoy»
RegisteredOrganization = «Vandelay Industries»

Защита

Компанния Microsoft выпустила дополнение которое устраняет брешь в защите
(«Scriptlet.Typelib» security vulnerability). Мы рекомендуем Вам посетить
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить
это дополнение.

Если Вы не используете HTML-приложения (HTA-файлы) в своей работе, есть
еще один способ обезопасить себя от вирусов, использующих «Scriptlet.Typelib»
security vulnerability. Для этого надо удалить ассоциацию к расширению .HTA
Чтобы сделать это нужно выполнить следующие действия:

1. Открыть окно «My Computer(Мой компьютер)» дважды щелкнув на значке
«My Computer(Мой компьютер)» на рабочем столе.

2. В меню выбрать пункт «View(Вид)» -> «Options…(Параметры…)».

3. На закладке «File Types(Типы файлов)» в списке «Registered file types
(Зарегистрированные типы файлов)» выбрать «HTML Applicaton».

4. Щелкнуть на кнопке «Remove(Удалить)» и подтвердить действие.

5. Закрыть диалоговое окно настроек.