Email-Worm.VBS.Newlove

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Крайне опасный вариант вируса-червя «LoveLetter». Также, как и «LoveLetter», является VBS-файлом и написан на языке Visual Basic Sctipt. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь попадает на компьютер в виде «пустого» письма (в письме нет никакого текста) с прикрепленным VBS-файлом, который, собственно, и является телом червя. Имя вложенного файла имеет длину до 30 символов и является случайным. Имя дополнено «ложным расширением», которое также выбирается случайно из вариантов:

Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt

«Настоящее» расширение имени вложения — «Vbs», например:

VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp.Vbs
QKUPLSXOOIBPAGNENGIVPN.Mp3.Vbs
TNXSOVARRLESDJQHQJLYSQNWV.Mdb.Vbs
HBLHCJOFFZS.Mdb.Vbs
MGQMHOTKKEXLWCJAJ.Doc.Vbs
SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb.Vbs
CWGCXE.Mp3.Vbs

В зависимости от настроек системы настоящее расширение вложенного файла («.Vbs») может быть не показано.

Тема письма состоит из символов «FW:» и имени вложенного файла без расширения «Vbs», например:

FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3
FW: ZTE.Htm

Распространение

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией.

Разрушительное воздействие

Затем червь ищет все файлы на всех доступных дисках и портит их — переименовывает с расширением «Vbs» и записывает в них свою копию (например, «COMMAND.COM» -> «COMMAND.COM.VBS»).

Таким образом, «жизненный цикл» червя выглядит примерно следующим образом: червь попадает на компьютер, запускается пользователем (например, двойным щелчком мыши по вложенному файлу), затем рассылает свои копии по всем адресам адресной книги Outlook и уничтожает все файлы на всех доступных дисках.

Другие особенности

Червь использует полиморфик-алгоритм, меняющий тело червя при каждом заражении — червь дописывает в свой текст случайные строки-комментарии. При этом количество этих строк и, соответственно, размер червя растет от «поколения к поколению», например: 110Kb, 248Kb, 403Kb, 585Kb, 805Kb, 1040Kb и т.д.

При этом «чистый» код червя занимает около 5Kb.