Email-Worm.VBS.Fireburn

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook.
Также передает свои копии в каналы IRC.

При активизации (двойной щелчок мыши по пложению в письме, или файл-червь запускается пользователем из каталога Download IRC-клиента) червь инсталлирует себя в систему. Он копирует себя в каталог Windows с именем
RUNDLL32.VBS и регистрирует этот файл в секции авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
MSrundll32 = rundll32.vbs

В результате файл-червь активизируется при каждом рестарте Windows.

Рассылка писем

Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из адресной книги. Параметры письма при этом зависят от установленной версии Windows. В немецкой версии Windows червь рассылает следующие письма:

Тема: Moin, alles klar?
Текст: Hi, wie geht’s dir?
Guck dir mal das Photo im Anhang an, ist echt geil 😉
bye, bis dann..

В остальных версиях Windows:

Тема: Hi, how are you?
Текст: Hi, look at that nice Pic attached !
Watching it is a must 😉
cu later…

Имя вложения при этом выбирается случайно из восьми вариантов:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-fucked!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Копия червя с таким же именем создается в системном каталоге Windows (именно эта копия прикрепляется к отправляемым письмам).

Заражение IRC

Червь также посылает свои копии в каналы IRC. Для этого он записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому пользователю, который подключается к каналу.
mIRC-скрипт червя также:

  • при подключении зараженного компьютера к IRC-каналам посылает в конференцию «virus» текст «Burn, Burn, Burn :)»
  • скрывает сообщения, которые могут содержать предупреждение о вирусе (игнорирует сообщения, в которых присутствуют слова: «script», «virus», «worm»)
  • если в чате появляется текст «die lamer», скрипт выходит из канала и выдает сообщение: «I’ll commit suicide! R.I.P»
  • если в чате появляется текст «fire», выводит текст: «Burn Burn Burn :)»
  • временно перемещает файл червя RUNDLL32.VBS в системный каталог Windows,
    а при выходе из канала возвращает его на место

Проявление

20 июня червь выводит сообщение:

FireburN
I’m proud to say that you are infected by FireburN !

и затем записывает в системный реестр команды, которые при следующей (и каждой последующей) перезагрузке Windows отключают клавиатуру и мышь:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up = «rundll32 mouse,disable»

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up2 = «rundll32 keyboard,disable»

Прочее

Червь также устанавливает новое значение поля «Registered Owner» в параметрах «MyComputer/Properties»: «Registered Owner = FireburN»

Код червя содержит текст-«копирайт»:

VBS.FIREBURN.A — mIRC/Outlook worm coded by fireburn
Polymorphic: Changing the actual filename on each start…
greets: to all members of ‘UnCreativeLabs’