Email-Worm.VBS.Mawanella

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.

Основной код червя зашифрован чтобы избежать обнаружения эвристическими анализаторами.

Червь распространяется в электронных письмах с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема = «Mawanella»
Текст = «Mawanella is one of the Sri Lanka’s Muslim Village»
Имя прикрепленного файла = «Mawanella.vbs»



При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все
адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

Если на компьютере не установлен MS Outlook червь просто выводит сообщение:

Please Forward this to everyone

После рассылки писем червь выводит сообщение:



Червь не отмечает компьютеры, с которых он уже рассылал письма, поэтому с одиного и того-же компьютера червь будет рассылать письма каждый раз, когда пользователь активизирует VBS-файл червя.