Класс | Email-Worm |
Платформа | VBS |
Описание |
Technical DetailsЭтот интернет-червь распространяется в письмах электронной почты, используя MS Outlook Express и службу MSMAPI. Червь написан на языке Visual Basic Script (VBS). Червь попадает на компьютер в виде письма в формате HTML или в обычном текстовом формате, но с прикрепленным HTML-файлом. В первом случае скрипт в HTML-части письма автоматически запускается при открытии или просмотре При активизации червь не начинает немедленную рассылку писем (как делают большинство других червей), а начинает заражать файлы на компьютере пользователя. Рассылать письма червь будет много позже (см. ниже). Червь подменяет обои рабочего стола Windows (desktop wallpaper), указав в качестве файла обоев зараженный HTML-файл, в котором фоном указана та картинка, которая была фоном до заражения компьютера. Таким образом пользователь скорее всего ничего не заметит (визуальных изменений не будет), но червь ативизируется каждый раз, когда отрисовывается фон. Кроме того, червь заражает все файлы с расширением «HTT» в подкаталоге «WEB» Windows-каталога. Эти файлы Windows использует при отображении каталогов (например Program Files) в Explorer при режиме просмотра Web-стиль. Заражение Каждый раз когда червь получает управление, он ищет файл с расширением HTM, HTML, ASP или VBS и заражает его. При следующем запуске червь будет искать следующий файл, и т.д. Постепенно червь заражает все файлы с указанными Для распространения через MS Outlook Express червь использует необычный прием — он указывает MS Outlook Express’у создавать новые письма в формате HTML и При каждом запуске червь увеличивает счетчик, который хранит в системном реестре, на единицу. Когда значение счетчика достигает 366, запускается одна из двух процедур рассылки писем. Обе процедуры используют службу MSMAPI для работы с почтой. Первая процедура берет все адреса из адресной книги MS Outlook и посылает зараженные письма на них. Тема зараженного письма » Help». Вторая процедура просматривает содержимое папки «Входящие» и на каждое сообщение создает и отправляет «ответ». Тему письма процедура устанавливает в В обоих случаях рассылаемые письма не содержат текста (только тема), но имеют прикрепленный файл «Untitled.htm», который содержит код червя. Если сумма дня и месяца составляет 13, червь ищет файлы с расширениями EXE и DLL и удаляет их. По одному файлу за запуск. |
Узнай статистику распространения угроз в твоем регионе |