Kaspersky Threats

Класс

Платформа

Описание

Technical Details

VBS-червь. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный
компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию).

Червь распространяется в электронных письмах с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема = «My-Linong….»
Текст = «True Story….»
Имя вложенного файла = mylinong.TXT.vbs

При активизации (если пользователь открывает прикрепленный файл) червь создает свои копии:

%windows%mylinong.txt.shs
%windows%SYSTEMKern32Lin.vbs
%windows%Vbrun32DLL.vbs
%windows%SYSTEMmylinong.TXT.vbs

и регистрирует в реестре запуск двух файлов:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Kern32lLin = %windows%SYSTEMMSKernel32.vbs
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Vbrun32DLL = %windows%Win32DLL.vbs

а также изменяет стартовую страницу Internet Explorer.

Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает
оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей
копией. Тема, содержимое письма и имя прикрепленного файла те же, что и
выше.

После рассылки писем червь создает каталоги:

С:LINONG I LOVE YOU MY FOLDER1
С:LINONG I LOVE YOU MY FOLDER2
С:LINONG I LOVE YOU MY FOLDER3

и так до 600:

С:LINONG I LOVE YOU MY FOLDER600

Затем червь создает текстовый файл %TEMP%mylinong.txt и показывает его
(запускается NOTEPAD.EXE):


 @@@@   @@@@            @@@@@    @@@      @@@  @@@@@@@@@    @@@    @@@   @@@@@   @@@     @@@
  @@     @@           @@     @@   @@      @@    @@           @@    @@  @@     @@  @@     @@
  @@     @@           @@     @@   @@      @@    @@            @@  @@   @@     @@  @@     @@
  @@     @@           @@     @@    @@    @@     @@@@@@         @@@@    @@     @@  @@     @@
  @@     @@           @@     @@     @@  @@      @@              @@     @@     @@  @@     @@
  @@     @@       @   @@     @@      @@@@       @@              @@     @@     @@  @@     @@
 @@@@   @@@@@@@@@@      @@@@@         @@       @@@@@@@@@        @@       @@@@@      @@@@@

 @@@@         @@@@  @@@  @@@@      @@@@@   @@@  @@@@    @@@@@@
  @@           @@    @@ @   @@   @@     @@  @@ @   @@  @@    @@
  @@           @@    @@     @@   @@     @@  @@     @@  @@
  @@           @@    @@     @@   @@     @@  @@     @@  @@  @@@@@
  @@           @@    @@     @@   @@     @@  @@     @@  @@    @@
  @@        @  @@    @@     @@   @@     @@  @@     @@  @@    @@
 @@@@@@@@@@@  @@@@  @@@     @@@    @@@@@   @@@     @@@  @@@@@@

 I Love You, MyLinong - 5it3Ninty8

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details VBS-червь. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге. Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). Червь распространяется в электронных письмах с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики: Тема = «My-Linong….» Текст = «True Story….» Имя вложенного файла = mylinong.TXT.vbs При активизации (если пользователь открывает прикрепленный файл) червь создает свои копии: %windows%mylinong.txt.shs %windows%SYSTEMKern32Lin.vbs %windows%Vbrun32DLL.vbs %windows%SYSTEMmylinong.TXT.vbs и регистрирует в реестре запуск двух файлов: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Kern32lLin = %windows%SYSTEMMSKernel32.vbs HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Vbrun32DLL = %windows%Win32DLL.vbs а также изменяет стартовую страницу Internet Explorer. Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше. После рассылки писем червь создает каталоги: С:LINONG I LOVE YOU MY FOLDER1 С:LINONG I LOVE YOU MY FOLDER2 С:LINONG I LOVE YOU MY FOLDER3 и так до 600: С:LINONG I LOVE YOU MY FOLDER600 Затем червь создает текстовый файл %TEMP%mylinong.txt и показывает его (запускается NOTEPAD.EXE): @@@@ @@@@ @@@@@ @@@ @@@ @@@@@@@@@ @@@ @@@ @@@@@ @@@ @@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@@ @@@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @ @@ @@ @@@@ @@ @@ @@ @@ @@ @@ @@@@ @@@@@@@@@@ @@@@@ @@ @@@@@@@@@ @@ @@@@@ @@@@@ @@@@ @@@@ @@@ @@@@ @@@@@ @@@ @@@@ @@@@@@ @@ @@ @@ @ @@ @@ @@ @@ @ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@@@@@@@ @@@@ @@@ @@@ @@@@@ @@@ @@@ @@@@@@ I Love You, MyLinong - 5it3Ninty8
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.Linong

Technical Details