Email-Worm.VBS.BubbleBoy

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот червь распространяется по Интернет в письмах электронной почты.
Зараженные письма не имеют прикрепленных файлов – червь использует несколько
приемов для запуска своего кода прямо из текста письма. Когда пользователь
открывает письмо чтобы его прочесть, червь активизируется, получает доступ к
ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты
из адресной книги Outlook и отправляет по этим адресам зараженные письма
(Таким же образом, как это делает вирус “Macro.Word97.Melissa”).

Это первый известный интернет-червь, который распространяется в письмах без
присоединенных к письму файлов. В ранее известных, пользователь должен был
открыть присоединенный к письму файл, чтобы код червя активизировался. Этот
же червь активизируется в момент, когда пользователь открывает само письмо.

Используемые приемы

Чтобы распространять свои копии червь использует два нестандартных приема.
Первый прием – червь использует возможность MS Outlook создавать письма в
формате HTML. Письма в этом формате могут содержать скрипты, которые будут
автоматически выполнены в момент, когда пользователь откроет письмо.

Червь использует это, чтобы активизироваться сразу при открытии письма.

Другой прием червь использует, чтобы обойти настройки безопасности в Internet
Explorer. Для этого он использует уже известную брешь в защите Internet
Explorer 5.0, называемую “Scriptlet.Typelib security vulnerability”.

Эта брешь дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать
HTA-файл (HTML-приложение, новый тип появившийся в IE5), который содержит
основной код червя. Этот файл создается в каталоге автозагрузки Windows и
как следствие запускается при следующем старте Windows. Будучи запущеным из
файла на локальном диске компьютера червь получает доступ к ресурсам
компьютера, берет адреса электронной почты из адресной книги Outlook и
отправляет по этим адресам зараженные письма.

Технические детали

Когда пользователь открывает зараженное письмо, скрипт, содержащийся
внутри письма, автоматически активизируется и выполняется. Этот скрипт
создает (используя брешь в защите) файл “UPDATE.HTA” в каталоге
“C:WINDOWSSTART MENUPROGRAMSSTARTUP”. Такой же файл червь пытается создать
и в каталоге “C:WINDOWSMENU INICIOPROGRAMASINICIO” (Имя каталога
автозагрузки для испанской версии Windows).

Этот файл “UPDATE.HTA” содержит основной код червя. При следующем старте
Windows этот файл будет исполнен так как он находится в каталоге автозагрузки.
Червь имеет небольшую ошибку: он предполагает что Windows всегда установлена
в каталоге C:WINDOWS, и если это не так, червь не может создать файл и как
следствие не может далее размножаться.

Когда код червя в файле “UPDATE.HTA” получает управление, он запускает
программу Outlook со скрытым окном и создает в ней письма адресованные
всем, чьи адреса хранятся в адресной книге Outlook. Червь создает письма
в формате HTML и включает в них свой скрипт. Созданные письма имеют тему
“BubbleBoy back!”, и текст письма:


The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

После того как письма были отправлены, чтобы исключить повторную отправку
писем, червь создает в системном реестре новый ключ:


“HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy” = “OUTLOOK.BubbleBoy 1.0 by Zulu”

В конце червь оставляет на экране окно с сообщением:


System error, delete “UPDATE.HTA” from the startup folder to solve this
problem.

Червь также меняет данные регистрации Windows (эта процедура выполняется в
момент когда скрипт в UPDATE.HTA получает управление):


RegisteredOwner = “BubbleBoy”
RegisteredOrganization = “Vandelay Industries”

Защита

Компанния Microsoft выпустила дополнение которое устраняет брешь в защите
(“Scriptlet.Typelib” security vulnerability). Мы рекомендуем Вам посетить
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить
это дополнение.

Если Вы не используете HTML-приложения (HTA-файлы) в своей работе, есть
еще один способ обезопасить себя от вирусов, использующих “Scriptlet.Typelib”
security vulnerability. Для этого надо удалить ассоциацию к расширению .HTA
Чтобы сделать это нужно выполнить следующие действия:

1. Открыть окно “My Computer(Мой компьютер)” дважды щелкнув на значке
“My Computer(Мой компьютер)” на рабочем столе.

2. В меню выбрать пункт “View(Вид)” -> “Options…(Параметры…)”.

3. На закладке “File Types(Типы файлов)” в списке “Registered file types
(Зарегистрированные типы файлов)” выбрать “HTML Applicaton”.

4. Щелкнуть на кнопке “Remove(Удалить)” и подтвердить действие.

5. Закрыть диалоговое окно настроек.

Узнай статистику распространения угроз в твоем регионе