Email-Worm.VBS.Lee

Technical Details

Простой червь, распространяющийся по электронной почте и каналам IRC.

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема письма: You get off the ice and respect the referees decision

Текст письма: Do you agree with the judge»s decision to
disqualify a Korean skater and award Apolo Ohno the gold
medal Wednesday night?

Имя прикрепленного файла: SALTLAKE.jpg.vbs

Когда код червя запущен (пользователь щелкнул на зараженный файл), червь копирует себя в системный каталог Windows в файл с именем «SALTLAKE.jpg.vbs» и регистрирует запуск этого файла в системном реестре.

Затем червь находит каталог, в котором установлен mIRC-клиент (клиент для работы с IRC сетями), и создает в нем файл «SCRIPT.INI». В этот файл червь записывает команды mIRC клиента, которые отсылают файл червя на каждый компьютер, который подключается к тому же каналу, к которому подключен
и зараженный компьютер.

После создания файла «SCRIPT.INI» червь записывает в системный реестр пометку. В следующий раз червь не будет создавать файл «SCRIPT.INI» если эта пометка присутствует в реестре.

Данный вирус создан при помощи конструктора скрипт-вирусов «Vbs Worms Generator», автором которого является хакер по кличке [K]alamar. C помощью данного конструктора были созданы такие вирусы как «Анна Курникова», «Antrax».