Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вредоносный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Представляет собой зашифрованный VB-скрипт. Размер — 25562 байт. Дешифруется при загрузке. Копирует свой файл в системную директорию Windows под именем «WinSys32dll.vbs».

Прописывается в реестр в ключ автозагрузки:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll]

Вирус производит рассылку зараженных писем, используя список адресов из адресной книги Microsoft Outlook.

Содержимое зараженных писем

Заголовок:

Внимание!

Текст письма:

Выпущено новое vbs обновление для поиска вирусов в памяти ОС Windows!
Оно помогает бороться с вирусами, рассылающимися по почте.
Антивирусный модуль написан на скрипт-языке, что помогает перехватывать
vb и js вирусы, прежде чем они начнут деструктивную деятельность.
Достаточно открыть файл и программа по устранению вирусов проведет поиск
вредоносных программ в памяти компьютера.

Вложение:

VB-скрипт "WinSys32dll.vbs".

После отправки зараженных писем, вирус отправляет письмо своему автору, в которое включает все файлы паролей PWL из директории Windows.

Отправка писем производится один раз — при первой загрузке конфигурации каждого пользователя.

Деятельность вируса

Копирует себя на все диски, во все директории в файл с именем «Folderdll.vbs» и устанавливает для этих файлов атрибут «hidden».

В каталоге Windows ищет файлы со расширениями VBS, JPG, JPEG, GIF, BMP, HTM, HTML, AVC, TXT, DOC, MP3, WAV, DBF.

Файлы с расширением VBS перезаписывает своим кодом.
Файлы с расширениями JPG, JPEG, GIF, BMP заменяются изображением в формате GIF, зашитым в теле вируса.

В файлы с расширениями HTM, HTML добавляется код следующего содержания:

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Вредоносный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Представляет собой зашифрованный VB-скрипт. Размер — 25562 байт. Дешифруется при загрузке. Копирует свой файл в системную директорию Windows под именем «WinSys32dll.vbs». Прописывается в реестр в ключ автозагрузки: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll] Вирус производит рассылку зараженных писем, используя список адресов из адресной книги Microsoft Outlook. Содержимое зараженных писем Заголовок: Внимание! Текст письма: Выпущено новое vbs обновление для поиска вирусов в памяти ОС Windows! Оно помогает бороться с вирусами, рассылающимися по почте. Антивирусный модуль написан на скрипт-языке, что помогает перехватывать vb и js вирусы, прежде чем они начнут деструктивную деятельность. Достаточно открыть файл и программа по устранению вирусов проведет поиск вредоносных программ в памяти компьютера. Вложение: VB-скрипт "WinSys32dll.vbs". После отправки зараженных писем, вирус отправляет письмо своему автору, в которое включает все файлы паролей PWL из директории Windows. Отправка писем производится один раз — при первой загрузке конфигурации каждого пользователя. Деятельность вируса Копирует себя на все диски, во все директории в файл с именем «Folderdll.vbs» и устанавливает для этих файлов атрибут «hidden». В каталоге Windows ищет файлы со расширениями VBS, JPG, JPEG, GIF, BMP, HTM, HTML, AVC, TXT, DOC, MP3, WAV, DBF. Файлы с расширением VBS перезаписывает своим кодом. Файлы с расширениями JPG, JPEG, GIF, BMP заменяются изображением в формате GIF, зашитым в теле вируса. В файлы с расширениями HTM, HTML добавляется код следующего содержания:
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.Horillka