Email-Worm.VBS.Newlove

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Крайне опасный вариант вируса-червя “LoveLetter”. Также, как и “LoveLetter”, является VBS-файлом и написан на языке Visual Basic Sctipt. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь попадает на компьютер в виде “пустого” письма (в письме нет никакого текста) с прикрепленным VBS-файлом, который, собственно, и является телом червя. Имя вложенного файла имеет длину до 30 символов и является случайным. Имя дополнено “ложным расширением”, которое также выбирается случайно из вариантов:

Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt

“Настоящее” расширение имени вложения – “Vbs”, например:

VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp.Vbs
QKUPLSXOOIBPAGNENGIVPN.Mp3.Vbs
TNXSOVARRLESDJQHQJLYSQNWV.Mdb.Vbs
HBLHCJOFFZS.Mdb.Vbs
MGQMHOTKKEXLWCJAJ.Doc.Vbs
SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb.Vbs
CWGCXE.Mp3.Vbs

В зависимости от настроек системы настоящее расширение вложенного файла (“.Vbs”) может быть не показано.

Тема письма состоит из символов “FW:” и имени вложенного файла без расширения “Vbs”, например:

FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3
FW: ZTE.Htm

Распространение

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией.

Разрушительное воздействие

Затем червь ищет все файлы на всех доступных дисках и портит их – переименовывает с расширением “Vbs” и записывает в них свою копию (например, “COMMAND.COM” -> “COMMAND.COM.VBS”).

Таким образом, “жизненный цикл” червя выглядит примерно следующим образом: червь попадает на компьютер, запускается пользователем (например, двойным щелчком мыши по вложенному файлу), затем рассылает свои копии по всем адресам адресной книги Outlook и уничтожает все файлы на всех доступных дисках.

Другие особенности

Червь использует полиморфик-алгоритм, меняющий тело червя при каждом заражении – червь дописывает в свой текст случайные строки-комментарии. При этом количество этих строк и, соответственно, размер червя растет от “поколения к поколению”, например: 110Kb, 248Kb, 403Kb, 585Kb, 805Kb, 1040Kb и т.д.

При этом “чистый” код червя занимает около 5Kb.

Узнай статистику распространения угроз в твоем регионе