Email-Worm.VBS.Peach

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь
использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию).

Для своей «транспортировки» червь использует PDF-файл. VBS код червя является вложенным объектом в PDF-файл, и для его активации нужно запустить вложенный объект вручную.

При открытии PDF-файла программой Adobe Acrobat (в Acrobat Reader червь не работоспособен) пользователю предлагают поиграть в простую игру, решение которой можно узнать, запустив вложенный объект.

При запуске вложенного объекта Adobe Acrobat (http://www.adobe.com/acrobat) извлекает VBS-код, записывает его как файл во временную директорию и исполняет его.

Вирусный код создает на диске JPG-файл и отображает его при помощи Internet Explorer.

Далее червь пытается найти на диске свой «файл-носитель» PDF, и если находит, рассылает его по адресам из адресной книги.

При этом червь случайным образом выбирает имя вложения, тему сообщения и тело письма.

Тема сообщения может выглядеть как:

«You have one minute to find the peach»
«Find the peach»
«Find»
«Peach»
«Joke»

При этом к теме может ставиться приставка «FW:» и восклицательный знак в конце.

Тело письма генерируется более сложным перебором и может содержать текст :

«Try finding the peach»
«Try this»
«Interesting search»
«I don’t usually send this things, but…»

Имя прикрепленного файла может быть:

«find.pdf»
«peach.pdf»
«find the peach.pdf»
«find_the_peach.pdf»
«joke.pdf»
«search.pdf»

Червь использует довольно запутанный алгоритм отсылки сообщений и в связи с этим очень часто просто не рассылается.