Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь
использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию).

Для своей «транспортировки» червь использует PDF-файл. VBS код червя является вложенным объектом в PDF-файл, и для его активации нужно запустить вложенный объект вручную.

При открытии PDF-файла программой Adobe Acrobat (в Acrobat Reader червь не работоспособен) пользователю предлагают поиграть в простую игру, решение которой можно узнать, запустив вложенный объект.

При запуске вложенного объекта Adobe Acrobat (http://www.adobe.com/acrobat) извлекает VBS-код, записывает его как файл во временную директорию и исполняет его.

Вирусный код создает на диске JPG-файл и отображает его при помощи Internet Explorer.

Далее червь пытается найти на диске свой «файл-носитель» PDF, и если находит, рассылает его по адресам из адресной книги.

При этом червь случайным образом выбирает имя вложения, тему сообщения и тело письма.

Тема сообщения может выглядеть как:

«You have one minute to find the peach»
«Find the peach»
«Find»
«Peach»
«Joke»

При этом к теме может ставиться приставка «FW:» и восклицательный знак в конце.

Тело письма генерируется более сложным перебором и может содержать текст :

«Try finding the peach»
«Try this»
«Interesting search»
«I don’t usually send this things, but…»

Имя прикрепленного файла может быть:

«find.pdf»
«peach.pdf»
«find the peach.pdf»
«find_the_peach.pdf»
«joke.pdf»
«search.pdf»

Червь использует довольно запутанный алгоритм отсылки сообщений и в связи с этим очень часто просто не рассылается.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook. Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). Для своей «транспортировки» червь использует PDF-файл. VBS код червя является вложенным объектом в PDF-файл, и для его активации нужно запустить вложенный объект вручную. При открытии PDF-файла программой Adobe Acrobat (в Acrobat Reader червь не работоспособен) пользователю предлагают поиграть в простую игру, решение которой можно узнать, запустив вложенный объект. При запуске вложенного объекта Adobe Acrobat (http://www.adobe.com/acrobat) извлекает VBS-код, записывает его как файл во временную директорию и исполняет его. Вирусный код создает на диске JPG-файл и отображает его при помощи Internet Explorer. Далее червь пытается найти на диске свой «файл-носитель» PDF, и если находит, рассылает его по адресам из адресной книги. При этом червь случайным образом выбирает имя вложения, тему сообщения и тело письма. Тема сообщения может выглядеть как: «You have one minute to find the peach» «Find the peach» «Find» «Peach» «Joke» При этом к теме может ставиться приставка «FW:» и восклицательный знак в конце. Тело письма генерируется более сложным перебором и может содержать текст : «Try finding the peach» «Try this» «Interesting search» «I don’t usually send this things, but…» Имя прикрепленного файла может быть: «find.pdf» «peach.pdf» «find the peach.pdf» «find_the_peach.pdf» «joke.pdf» «search.pdf» Червь использует довольно запутанный алгоритм отсылки сообщений и в связи с этим очень часто просто не рассылается.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.Peach

Technical Details