Email-Worm.VBS.Horillka

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Вредоносный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Представляет собой зашифрованный VB-скрипт. Размер — 25562 байт. Дешифруется при загрузке. Копирует свой файл в системную директорию Windows под именем «WinSys32dll.vbs».

Прописывается в реестр в ключ автозагрузки:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll]

Вирус производит рассылку зараженных писем, используя список адресов из адресной книги Microsoft Outlook.

Содержимое зараженных писем

Заголовок:

Внимание!

Текст письма:

Выпущено новое vbs обновление для поиска вирусов в памяти ОС Windows!
Оно помогает бороться с вирусами, рассылающимися по почте.
Антивирусный модуль написан на скрипт-языке, что помогает перехватывать
vb и js вирусы, прежде чем они начнут деструктивную деятельность.
Достаточно открыть файл и программа по устранению вирусов проведет поиск
вредоносных программ в памяти компьютера.

Вложение:

VB-скрипт "WinSys32dll.vbs".

После отправки зараженных писем, вирус отправляет письмо своему автору, в которое включает все файлы паролей PWL из директории Windows.

Отправка писем производится один раз — при первой загрузке конфигурации каждого пользователя.

Деятельность вируса

Копирует себя на все диски, во все директории в файл с именем «Folderdll.vbs» и устанавливает для этих файлов атрибут «hidden».

В каталоге Windows ищет файлы со расширениями VBS, JPG, JPEG, GIF, BMP, HTM, HTML, AVC, TXT, DOC, MP3, WAV, DBF.

  • Файлы с расширением VBS перезаписывает своим кодом.
  • Файлы с расширениями JPG, JPEG, GIF, BMP заменяются изображением в формате GIF, зашитым в теле вируса.
  • В файлы с расширениями HTM, HTML добавляется код следующего содержания:
    
    
  • Файлы с расширением AVC перезаписываются строкой:
    Vyatka was here
  • Файлы с расширением TXT и DOC перезаписываются текстом:
    Уважаемые господа! Вас хакнул вирус из Вятки - задницы России.
    Dear friends! You was hacked by virus from Vyatka (situated in deep ass of Russia)
    ..:: Xpi1oT ::..
  • Файлы с расширениями MP3 и WAV заменяются звуковым файлом, зашитым в теле вируса.
  • Найденные файлы с расширением DBF удаляются.

    11 декабря каждого года вирус выдает на экран сообщение:

    COOOOOOOOL

    и перезаписывает файл autoexec.bat:

    @Windows upgrading your system...
    @Please wait
    format c: /autotest /q /u
    @Please wait...
    format d: /autotest /q /u
    @Your system was hacked by virus from Vyatka (situated in deep ass of Russia)

    После чего перезагружает систему, результатом чего становится форматирование жесткого диска C.