Email-Worm.VBS.Lee

Technical Details

Простой червь, распространяющийся по электронной почте и каналам IRC.

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема письма: You get off the ice and respect the referees decision

Текст письма: Do you agree with the judge”s decision to
disqualify a Korean skater and award Apolo Ohno the gold
medal Wednesday night?

Имя прикрепленного файла: SALTLAKE.jpg.vbs

Когда код червя запущен (пользователь щелкнул на зараженный файл), червь копирует себя в системный каталог Windows в файл с именем “SALTLAKE.jpg.vbs” и регистрирует запуск этого файла в системном реестре.

Затем червь находит каталог, в котором установлен mIRC-клиент (клиент для работы с IRC сетями), и создает в нем файл “SCRIPT.INI”. В этот файл червь записывает команды mIRC клиента, которые отсылают файл червя на каждый компьютер, который подключается к тому же каналу, к которому подключен
и зараженный компьютер.

После создания файла “SCRIPT.INI” червь записывает в системный реестр пометку. В следующий раз червь не будет создавать файл “SCRIPT.INI” если эта пометка присутствует в реестре.

Данный вирус создан при помощи конструктора скрипт-вирусов “Vbs Worms Generator”, автором которого является хакер по кличке [K]alamar. C помощью данного конструктора были созданы такие вирусы как “Анна Курникова”, “Antrax”.