Email-Worm.VBS.Cuerpo

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет-червь заражает компьютеры под управлением операционной системы
MS Windows 95/98/ME с установленным Internet Explorer 5.0. Червь доставляется
на компьютер в сообщениях электронной почты, которые не имеют постоянных
признаков (тема, имя вложенного файла, тело письма). Кроме того, программный
код «Cuerpo» обладает полиморфными свойствами и также не имеет постоянного
вида.

Для проникновения на компьютер червь использует хорошо известную брешь в
системе безопасности Internet Explorer (Scriptlet.TypeLib). Пользователям
Internet Explorer 5.0 рекомендуется установить заплатку, закрывающую эту брешь
и тем самым защищая от этого и других аналогичных червей. Заплатка доступна с
сайта Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms99-032.asp

Червь распространяется рассылая письма электронной почты с зараженных
компьютеров. При рассылке писем червь использует MS Outlook — получает все
адреса из адресной книги Outlook и рассылает по ним зараженные письма, но
также имеет дополнительную процедуру, которая позволяет ему распространяться с
машин не имеющих установленного MS Outlook.

Червь приходит на компьютер в виде письма электронной почты в формате HTML.
Тема письма может быть различной (она выбиралась из писем на зараженном
компьютере), текст письма не содержит видимого текста, но содержит
скрипт-программу на языке Visual Basic Script — которая и является кодом
червя.

При открытии письма или в момент его отображения в области предварительного
просмотра скрипт-программа активизируется и червь получает управление.

В момент активизации скрипт-программы может возникнуть предупреждение:

An ActiveX control on this page might be unsafe to interact with other parts
of the page. Do you want to allow this interaction?
[YES] [NO]

Ответ [NO] не даст червю запуститься.

Получив управление, червь создает на локальном диске несколько дополнительных
файлов, которые он использует позднее. Затем получает доступ к MS Outlook, и
рассылает зараженные письма по всем адресам из его адресной книги. При
составлении письма червь пытается использовать для письма уже существующую
тему, для этого он сканирует имеющиеся в почтовом ящике Outlook письма и
выбирает одну из тем. Тест письма имеет формат HTML и не содержит ничего кроме
скрипт-программы червя. Дополнительно к этому червь прикрепляет к письму HTML
файл, который также не содержит ничего кроме тела червя. Таким образом
отправляемые письма содержат червя дважды — в теле письма и в прикрепленном
файле. Имя прикрепленного файла выбирается также как и тема — сканируя уже
имеющиеся письма, но к концу найденого имени червь добавляет «(9 Kbytes).vbs».

Червь добавляет свой код во все файлы подписей используемых MS Outlook. Таким
образом вместе с подписью в письмо сразу будет добавляться и код червя.

Также, червь заменяет стартовую страницу Internet Explorerна пустую, а по
прошествии четырех дней после заражения — на «http://www.freedonation.com».

Червь имеет дополнительную процедуру, которая позволяет ему распространяться с
машин не имеющих установленного MS Outlook. Эта процедура ищет на жестком
диске компьютера адреса электронной почты (для этого она сканирует файлы с
расширениями «txt», «na2», «wab», «mbx», «dbx» и «dat» — стандартными
расширениями для почтовых баз). Найденные адреса через интернет-браузер
(используя HTML форму) отправляются на сайт автора червя, где специальный
скрипт автоматически начинает рассылать зараженные письма по этим адресам. В
таких письмах поле «From» и поле «To» имеют одинаковый адрес — адрес
получателя, т.е. получавший такое письмо пользователь видит что он как бы
послал это письмо сам себе. Тело письма содержит скрипт-программу червя. Этот
метод распространения перестанет работать как только сайт автора червя будет
закрыт.