Email-Worm.VBS.Scrapworm

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет червь был обнаружен в середине июня 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, создает свои копии на сетевых дисках. Червь также способен распространяться через IRC-каналы.

Тело червя содержит комментарии:

‘MIRC/NETWORK/OUTLOOK/PIRCH.ShellScrapWorm by SimpleSimon / Zulu

Рапространение

Червь попадает на компьютер в виде письма с прикрепленным SHS-файлом, который содержит в себе тело червя. SHS-файл есть Scrap Package Object, который может сожержать в себе объекты других типов а также активизировать
(запускать) их. В этом случае SHS-файл содержит скрипт программу на языке Visual Basic Script, которая и является телом червя.

Тема зараженного письма может быть разной, т.к. она комбинируется из трех наборов строк:

«Fw: «, «»
«Life stages», «Funny», «Jokes»
» text», «»

Примеры:

Fw: Jokes
Life stages
Funny text

Сообщение в письме может быть пустым, либо одним их следующих:

>The male and female stages of life.
>The male and female stages of life. Bye.

Имя прикрепленного файла: LIFE_STAGES.TXT.SHS

В зависимости от настроек системы настоящее расширение вложенного файла («.SHS») может быть не показано. В этом случае файл отображается как «LIFE_STAGES.TXT».

При активизации (если пользователь открывает прикрепленный файл) содержащаяся в нем скрипт-программа запускается и червь получает управление.

Червь создает в каталоге временных файлов Windows тестовый файл и отображает его содержимое запустив текстовый редактор. Этот файл содержит текст:

— The male stages of life:

Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn’t set back my therapy.
48 I didn’t have to meet her kids.
66 Got home alive.

— The female stages of life:

Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.

Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.

Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда сто случайно выбранных адресов из каждого списка адресов и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

Червь также инсталлирует себя в систему. Он создает в каталогах Windows файлы со своими копиями. Имена создаваемых файлов:

в каталоге Windows: LIFE_STAGES.TXT.SHS
в системном каталоге Windows: MSINFO16.TLB
в Корзине (каталоге удаленных файлов): MSRCYCLD.DAT

Затем червь создает свои копии , присваивая им случайные имена, на всех локальных жестких дисках в корневой директории, а также в каталогах «Programs» и «MyDocuments». Если на сетевом диске существует Windows startup-каталог, червь копирует себя и туда.

Червь также оставляет файлы:

в системном каталоге Windows: SCANREG.VBS

  • червь записывает ссылку на этот файл в секцию автоматического запуска системного реестра:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = «WSCRIPT.EXE SCANREG.VBS»

  • червь создает копию этого файла в Корзине:

    RCYCLDBN.DAT

    в каталоге Windows: DBINDEX.VBS

  • червь записывает ссылку на этот файл в секцию ICQ системного реестра таким образом, чтобы он запускался при каждом запуске ICQ:

    HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = «Yes»

    HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = «C:RECYCLEDDBINDEX.VBS»

    HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = «WSCRIPT.EXE»

    HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = «C:WINDOWS»

  • червь создает копию этого файла в системном каталоге Windows:

    VBASET.OLB

  • В результате червь активизируется при каждом перезапуске Windows или старте ICQ.

    Распространение через IRC-каналы

    Червь сканирует доступные диски и ищет на них файл MIRC.INI. Если такой файл найден, червь создает в том же каталоге файл SOUND32B.DLL, который содержит
    mIRC-команды, посылающие файл червя (файл LIFE_STAGES.TXT.SHS) всем пользователям, подключающимся к зараженному каналу. Затем ссылка на файл
    SOUND32B.DLL добавляется в секцию «rfiles» файла MIRC.INI.

    Другие проявления

    Червь переименовывает программу REGEDIT.EXE в RECYCLED.VXD а затем помещает ее в Корзину.