Email-Worm.VBS.HappyTime

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет-червь распространяется в письмах электронной почты, используя MS Outlook Express и службу MSMAPI. Червь написан на языке Visual Basic Script (VBS).

Червь попадает на компьютер в виде письма в формате HTML или в обычном текстовом формате, но с прикрепленным HTML-файлом. В первом случае скрипт в HTML-части письма автоматически запускается при открытии или просмотре
письма и червь активизируется. Во втором случае червь активизируется в момент, когда пользователь открывает прикрепленный к письму HTML-файл.

При активизации червь не начинает немедленную рассылку писем (как делают большинство других червей), а начинает заражать файлы на компьютере пользователя. Рассылать письма червь будет много позже (см. ниже).

Червь подменяет обои рабочего стола Windows (desktop wallpaper), указав в качестве файла обоев зараженный HTML-файл, в котором фоном указана та картинка, которая была фоном до заражения компьютера. Таким образом пользователь скорее всего ничего не заметит (визуальных изменений не будет), но червь ативизируется каждый раз, когда отрисовывается фон.

Кроме того, червь заражает все файлы с расширением «HTT» в подкаталоге «WEB» Windows-каталога. Эти файлы Windows использует при отображении каталогов (например Program Files) в Explorer при режиме просмотра Web-стиль. Заражение
этих файлов приводит к тому, что при отображении каждого каталога автоматически запускается код червя.

Каждый раз когда червь получает управление, он ищет файл с расширением HTM, HTML, ASP или VBS и заражает его. При следующем запуске червь будет искать следующий файл, и т.д. Постепенно червь заражает все файлы с указанными
расширениями на компьютере.

Для распространения через MS Outlook Express червь использует необычный прием — он указывает MS Outlook Express’у создавать новые письма в формате HTML и
использовать при создании шаблоны. При использовании шаблона, Outlook Express помещает его в создаваемое письмо, а т.к. шаблон — есть просто HTML файл (а все HTML файлы заражены червем, см. выше) то вместе с шаблоном в письмо
попадает и код червя.

При каждом запуске червь увеличивает счетчик, который хранит в системном реестре, на единицу. Когда значение счетчика достигает 366, запускается одна из двух процедур рассылки писем.

Обе процедуры используют службу MSMAPI для работы с почтой.

Первая процедура берет все адреса из адресной книги MS Outlook и посылает зараженные письма на них. Тема зараженного письма » Help».

Вторая процедура просматривает содержимое папки «Входящие» и на каждое сообщение создает и отправляет «ответ». Тему письма процедура устанавливает в
«Fw: » и тему оригинального сообщения.

В обоих случаях рассылаемые письма не содержат текста (только тема), но имеют прикрепленный файл «Untitled.htm», который содержит код червя.

Если сумма дня и месяца составляет 13, червь ищет файлы с расширениями EXE и DLL и удаляет их. По одному файлу за запуск.