Email-Worm.VBS.Talorm

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по IRC-каналам. Червь является CHM-файлов (сжатый HTML-файл) имеет размер около 17K.

Зараженные письма содержат следующие параметры:

Заголовок выбирается случайно из вариантов:

  Fotos de Thalia
  Free Pics
  Fotos XXX de Thalia
  Fotos Exitantes de Thalia

Текст выбирается случайно из вариантов:

  Checa estas fotos de Thalia
  Hola que tal? ya viste las super fotos exitantes de Thalia
  Como tas! aqui te mando unas fotos de Thalia
  Para mis mejores Amigos fotos de Thalia
  Fotos XXX de Thalia
  unas fotos bien padres de Thalia
  Imagenes insolitas de Thalia
  Apuesto a que no has visto desnuda a Thalia
  HOLA! TE RETO A CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia
  Fotos Exitantes de la cantante Thalia

Имя вложения: Thalia.chm

Червь активизируется только, если пользователь сам запускает зараженный файл
(при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и
запускает процедуры своего распространения.

Затем червь записывает в ключ системного реестра новое значение:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = Thalia”

и выводит сообщение:

I LOVE!!!!
I love Thalia

Инсталляция

При инсталляции червь копирует свой CHM-файл в каталог Windows с именем “Thalia.CHM” и регистрирует этот файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Thalia = %WinDir%Thalia.CHM

Рассылка писем

При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге.

Заражение mIRC

Червь проверяет наличие подкаталога mIRC в каталоге “Program Files” и, если такой обнаружен, записывает в него новый управляющий файл “script.ini”, в который записываются команды передачи CHM-файла червя всем пользователям, подключающимся к зараженному каналу.