Класс | Email-Worm |
Платформа | VBS |
Описание |
Technical DetailsЭтот интернет червь был обнаружен в середине июня 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH – в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, создает свои копии на сетевых дисках. Червь также способен распространяться через IRC-каналы. Тело червя содержит комментарии:
РапространениеЧервь попадает на компьютер в виде письма с прикрепленным SHS-файлом, который содержит в себе тело червя. SHS-файл есть Scrap Package Object, который может сожержать в себе объекты других типов а также активизировать Тема зараженного письма может быть разной, т.к. она комбинируется из трех наборов строк:
Примеры:
Сообщение в письме может быть пустым, либо одним их следующих:
Имя прикрепленного файла: LIFE_STAGES.TXT.SHS В зависимости от настроек системы настоящее расширение вложенного файла (“.SHS”) может быть не показано. В этом случае файл отображается как “LIFE_STAGES.TXT”. При активизации (если пользователь открывает прикрепленный файл) содержащаяся в нем скрипт-программа запускается и червь получает управление. Червь создает в каталоге временных файлов Windows тестовый файл и отображает его содержимое запустив текстовый редактор. Этот файл содержит текст:
Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда сто случайно выбранных адресов из каждого списка адресов и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше. Червь также инсталлирует себя в систему. Он создает в каталогах Windows файлы со своими копиями. Имена создаваемых файлов:
Затем червь создает свои копии , присваивая им случайные имена, на всех локальных жестких дисках в корневой директории, а также в каталогах “Programs” и “MyDocuments”. Если на сетевом диске существует Windows startup-каталог, червь копирует себя и туда. Червь также оставляет файлы:
В результате червь активизируется при каждом перезапуске Windows или старте ICQ. Распространение через IRC-каналыЧервь сканирует доступные диски и ищет на них файл MIRC.INI. Если такой файл найден, червь создает в том же каталоге файл SOUND32B.DLL, который содержит Другие проявленияЧервь переименовывает программу REGEDIT.EXE в RECYCLED.VXD а затем помещает ее в Корзину. |
Узнай статистику распространения угроз в твоем регионе |