Kaspersky Threats — CoolNotepad

Класс

Платформа

Описание

Technical Details

Интернет-червь, созданный «по мотивам» червя «LoveLetter». Представляет из
себя VBS-скрипт, распространяющийся как вложение в электронные письма. Параметры
письма при этом следующие:

Тема:

Cool Notepad Demo

Текст:

Hey check out this text file I sent it will do something neat in notepad.

Enjoy 🙂

Имя вложения:

COOL_NOTEPAD_DEMO.TXT.vbs

Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем
адресам из адресной книги.

Червь также посылает свои копии в каналы IRC. Для этого он записывает в каталог
клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому
пользователю, который подключается к каналу. mIRC-скрипт червя также при подключении
зараженного компьютера к IRC-каналам посылает в конференцию «virus» текст:

Cool Notepad Demo

Червь также создает в системном каталоге Windows свою копию с именем COOL_NOTEPAD_DEMO.TXT.vbs
и регистрирует ее в секции авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun COOL_NOTEPAD_DEMO
= FileName

где «FileName» является полным именем файла-червя в системном каталоге Windows.

Червь также «прячет» все иконки с рабочего стола Windows. Для этого он записывает в системный реестр новый ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop = 1

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Интернет-червь, созданный «по мотивам» червя «LoveLetter». Представляет из себя VBS-скрипт, распространяющийся как вложение в электронные письма. Параметры письма при этом следующие: Тема: Cool Notepad Demo Текст: Hey check out this text file I sent it will do something neat in notepad. Enjoy 🙂 Имя вложения: COOL_NOTEPAD_DEMO.TXT.vbs Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из адресной книги. Червь также посылает свои копии в каналы IRC. Для этого он записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому пользователю, который подключается к каналу. mIRC-скрипт червя также при подключении зараженного компьютера к IRC-каналам посылает в конференцию «virus» текст: Cool Notepad Demo Червь также создает в системном каталоге Windows свою копию с именем COOL_NOTEPAD_DEMO.TXT.vbs и регистрирует ее в секции авто-запуска системного реестра: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun COOL_NOTEPAD_DEMO = FileName где «FileName» является полным именем файла-червя в системном каталоге Windows. Червь также «прячет» все иконки с рабочего стола Windows. Для этого он записывает в системный реестр новый ключ: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer NoDesktop = 1

Email-Worm.VBS.CoolNotepad

Technical Details