Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook.
Также передает свои копии в каналы IRC.

При активизации (двойной щелчок мыши по пложению в письме, или файл-червь запускается пользователем из каталога Download IRC-клиента) червь инсталлирует себя в систему. Он копирует себя в каталог Windows с именем
RUNDLL32.VBS и регистрирует этот файл в секции авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
MSrundll32 = rundll32.vbs

В результате файл-червь активизируется при каждом рестарте Windows.

Рассылка писем

Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из адресной книги. Параметры письма при этом зависят от установленной версии Windows. В немецкой версии Windows червь рассылает следующие письма:

Тема: Moin, alles klar?
Текст: Hi, wie geht’s dir?
Guck dir mal das Photo im Anhang an, ist echt geil 😉
bye, bis dann..

В остальных версиях Windows:

Тема: Hi, how are you?
Текст: Hi, look at that nice Pic attached !
Watching it is a must 😉
cu later…

Имя вложения при этом выбирается случайно из восьми вариантов:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-fucked!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Копия червя с таким же именем создается в системном каталоге Windows (именно эта копия прикрепляется к отправляемым письмам).

Заражение IRC

Червь также посылает свои копии в каналы IRC. Для этого он записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому пользователю, который подключается к каналу.
mIRC-скрипт червя также:

при подключении зараженного компьютера к IRC-каналам посылает в конференцию «virus» текст «Burn, Burn, Burn :)»
скрывает сообщения, которые могут содержать предупреждение о вирусе (игнорирует сообщения, в которых присутствуют слова: «script», «virus», «worm»)
если в чате появляется текст «die lamer», скрипт выходит из канала и выдает сообщение: «I’ll commit suicide! R.I.P»
если в чате появляется текст «fire», выводит текст: «Burn Burn Burn :)»
временно перемещает файл червя RUNDLL32.VBS в системный каталог Windows,
а при выходе из канала возвращает его на место

Проявление

20 июня червь выводит сообщение:

FireburN
I’m proud to say that you are infected by FireburN !

и затем записывает в системный реестр команды, которые при следующей (и каждой последующей) перезагрузке Windows отключают клавиатуру и мышь:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up = «rundll32 mouse,disable»

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up2 = «rundll32 keyboard,disable»

Прочее

Червь также устанавливает новое значение поля «Registered Owner» в параметрах «MyComputer/Properties»: «Registered Owner = FireburN»

Код червя содержит текст-«копирайт»:

VBS.FIREBURN.A — mIRC/Outlook worm coded by fireburn
Polymorphic: Changing the actual filename on each start…
greets: to all members of ‘UnCreativeLabs’

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Также передает свои копии в каналы IRC. При активизации (двойной щелчок мыши по пложению в письме, или файл-червь запускается пользователем из каталога Download IRC-клиента) червь инсталлирует себя в систему. Он копирует себя в каталог Windows с именем RUNDLL32.VBS и регистрирует этот файл в секции авто-запуска системного реестра: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun MSrundll32 = rundll32.vbs В результате файл-червь активизируется при каждом рестарте Windows. Рассылка писем Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из адресной книги. Параметры письма при этом зависят от установленной версии Windows. В немецкой версии Windows червь рассылает следующие письма: Тема: Moin, alles klar? Текст: Hi, wie geht’s dir? Guck dir mal das Photo im Anhang an, ist echt geil 😉 bye, bis dann.. В остальных версиях Windows: Тема: Hi, how are you? Текст: Hi, look at that nice Pic attached ! Watching it is a must 😉 cu later… Имя вложения при этом выбирается случайно из восьми вариантов: Ultra-Hardcore-Bondage.JPG.vbs Christina__NUDE!!!.JPG.vbs CuteJany__BigTits!.GIF.vbs MyGirlfriend__NUDE!.JPG.vbs Aguiliera__NUDE!!.JPG.vbs !Jany__Gets-fucked!.GIF.vbs cute__EmmaPeel!!!.JPG.vbs Julie17__xxx.GIF.vbs Копия червя с таким же именем создается в системном каталоге Windows (именно эта копия прикрепляется к отправляемым письмам). Заражение IRC Червь также посылает свои копии в каналы IRC. Для этого он записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому пользователю, который подключается к каналу. mIRC-скрипт червя также: при подключении зараженного компьютера к IRC-каналам посылает в конференцию «virus» текст «Burn, Burn, Burn :)» скрывает сообщения, которые могут содержать предупреждение о вирусе (игнорирует сообщения, в которых присутствуют слова: «script», «virus», «worm») если в чате появляется текст «die lamer», скрипт выходит из канала и выдает сообщение: «I’ll commit suicide! R.I.P» если в чате появляется текст «fire», выводит текст: «Burn Burn Burn :)» временно перемещает файл червя RUNDLL32.VBS в системный каталог Windows, а при выходе из канала возвращает его на место Проявление 20 июня червь выводит сообщение: FireburN I’m proud to say that you are infected by FireburN ! и затем записывает в системный реестр команды, которые при следующей (и каждой последующей) перезагрузке Windows отключают клавиатуру и мышь: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up = «rundll32 mouse,disable» HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up2 = «rundll32 keyboard,disable» Прочее Червь также устанавливает новое значение поля «Registered Owner» в параметрах «MyComputer/Properties»: «Registered Owner = FireburN» Код червя содержит текст-«копирайт»: VBS.FIREBURN.A — mIRC/Outlook worm coded by fireburn Polymorphic: Changing the actual filename on each start… greets: to all members of ‘UnCreativeLabs’
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.Fireburn

Technical Details

Рассылка писем

Заражение IRC

Проявление

Прочее