Email-Worm.VBS.Homepage

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет-червь вызвал массовые поражения компьютеров и сетей в начале мая 2001. Червь распространяется в электронных письмах и при активизации
рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результете пораженный
компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.

Основной код червя зашифрован чтобы избежать обнаружения эвристическими анализаторами.

Червь распространяется в электронных письмах с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема: «Homepage»
Текст: Hi!

You’ve got to see this page! It’s really cool ;O)

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все
адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

После рассылки писем червь открывает Web браузер с одной из четырех XXX страниц (чтобы изобразить вид деятельности и не вызвать подозрений пользователя).

Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ «HKCUsoftwareAnmailed» и записывает в него значение «1».