Email-Worm.VBS.Potok

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь
использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, является телом червя. Письмо имеет следующие характеристики:

Тема письма: New Generation of drivers.

Сообщение в письме:

Microsoft hasCards, comp published new driver
for all types Video atible with Windows 95/98/NT/2000/XP.
You can read about it in attachment document.
Best wishes,Microsoft.

Имя прикрепленного файла: «driver.doc .vbs»

Расширение файла («.vbs») отделено большим количеством пробелов и в некоторых случаях может не отображаться.

В зависимости от настроек системы настоящее расширение вложенного файла («.vbs») может быть не показано. В этом случае файл отображается как «DRIVER.DOC».

При активизации (если пользователь открывает прикрепленный файл) червь создает свою точную копию в каталоге WINDOWS под именем «driver.doc .vbs»

Червь проверяет тип файловой системы и если она не NTFS, то червь завершает свою работу.

Если файловая система NTFS червь создает в каталоге WINDOWS файл ODBC.INI и ассоциирует с ним четыре дополнительных потока (NTFS stream):

group — подпрограмма добавления пользователя в систему
mail — подпрограмма собственной рассылки через OutLook
main — основная управляющая часть
user — подпрограмма добавления пользователя в систему

Далее червь создает промежуточный файл («go.vbs») который собирает все четыре потока в один файл («notepad.vbs») и запускает его.

Часть червя запущенная из файла NOTEPAD.VBS производит рассылку по перым 50 адресам адресной книги OutLook. после рассылки червь проверяет операционную систему и если это
Windows 2000 то червь добавляет в систему нового пользователя «Lord_Nikon».