Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь
использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, является телом червя. Письмо имеет следующие характеристики:

Тема письма: New Generation of drivers.

Сообщение в письме:

Microsoft hasCards, comp published new driver
for all types Video atible with Windows 95/98/NT/2000/XP.
You can read about it in attachment document.
Best wishes,Microsoft.

Имя прикрепленного файла: «driver.doc .vbs»

Расширение файла («.vbs») отделено большим количеством пробелов и в некоторых случаях может не отображаться.

В зависимости от настроек системы настоящее расширение вложенного файла («.vbs») может быть не показано. В этом случае файл отображается как «DRIVER.DOC».

При активизации (если пользователь открывает прикрепленный файл) червь создает свою точную копию в каталоге WINDOWS под именем «driver.doc .vbs»

Червь проверяет тип файловой системы и если она не NTFS, то червь завершает свою работу.

Если файловая система NTFS червь создает в каталоге WINDOWS файл ODBC.INI и ассоциирует с ним четыре дополнительных потока (NTFS stream):

group — подпрограмма добавления пользователя в систему
mail — подпрограмма собственной рассылки через OutLook
main — основная управляющая часть
user — подпрограмма добавления пользователя в систему

Далее червь создает промежуточный файл («go.vbs») который собирает все четыре потока в один файл («notepad.vbs») и запускает его.

Часть червя запущенная из файла NOTEPAD.VBS производит рассылку по перым 50 адресам адресной книги OutLook. после рассылки червь проверяет операционную систему и если это
Windows 2000 то червь добавляет в систему нового пользователя «Lord_Nikon».

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook. Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000. Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, является телом червя. Письмо имеет следующие характеристики: Тема письма: New Generation of drivers. Сообщение в письме: Microsoft hasCards, comp published new driver for all types Video atible with Windows 95/98/NT/2000/XP. You can read about it in attachment document. Best wishes,Microsoft. Имя прикрепленного файла: «driver.doc .vbs» Расширение файла («.vbs») отделено большим количеством пробелов и в некоторых случаях может не отображаться. В зависимости от настроек системы настоящее расширение вложенного файла («.vbs») может быть не показано. В этом случае файл отображается как «DRIVER.DOC». При активизации (если пользователь открывает прикрепленный файл) червь создает свою точную копию в каталоге WINDOWS под именем «driver.doc .vbs» Червь проверяет тип файловой системы и если она не NTFS, то червь завершает свою работу. Если файловая система NTFS червь создает в каталоге WINDOWS файл ODBC.INI и ассоциирует с ним четыре дополнительных потока (NTFS stream): group — подпрограмма добавления пользователя в систему mail — подпрограмма собственной рассылки через OutLook main — основная управляющая часть user — подпрограмма добавления пользователя в систему Далее червь создает промежуточный файл («go.vbs») который собирает все четыре потока в один файл («notepad.vbs») и запускает его. Часть червя запущенная из файла NOTEPAD.VBS производит рассылку по перым 50 адресам адресной книги OutLook. после рассылки червь проверяет операционную систему и если это Windows 2000 то червь добавляет в систему нового пользователя «Lord_Nikon».
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.Potok

Technical Details