Email-Worm.VBS.Timofonica

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает
себя с зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся
в адресной книге Outlook. В результет пораженный компьютер рассылает столько
зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только
в операционных системах с установленным Windows Scripting Host (WSH — в Windows98,
Windows2000 он установлен по умолчанию). При размножении червь использует функции
Outlook, которые доступны только в Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте, устанавливает
в систему троянский файл.

Рапространение

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который,
собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема письма:

TIMOFONICA

Сообщение в письме:

Es de todos ya conocido el monopolio de Telefуnica pero no tan conocido
los mйtodos que utilizу para llegar hasta este punto. En el documento adjunto
existen opiniones, pruebas y direcciones web con mбs informaciуn que demuestran
irregularidades en compras de materiales, facturas sin proveedores, stock
irreal, etc. Tambiйn habla de las extorsiones y favoritismos a empresarios
tanto nacionales como internacionales. Explica tambiйn el por quй del fracaso
en Holanda y quй hizo para adquirir el portal Lycos. En las direcciones web
del documento existen temas relacionados para que echйis un vistazo a los
comentarios, informes, documentos, etc. Como comprenderйis, esto es muy importante,
y os ruego que reenviйis este correo a vuestros amigos y conocidos.

Имя прикрепленного файла:

TIMOFONICA.TXT.vbs

В зависимости от настроек системы настоящее расширение вложенного файла («.vbs»)
может быть не показано. В этом случае файл отображается как «TIMOFONICA.TXT».

При активизации (если пользователь открывает прикрепленный файл) червь получает
доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает
по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и
имя прикрепленного файла те же, что и выше.

Дополнительно, при отправке каждого сообщения червь посылает еще одно сообщение
со случайным цифровым адресом на хост «correo.movistar.net», например «639867159@correo.movistar.net».
Письмо имеет следующие характеристики:

Тема письма:

TIMOFONICA

Сообщение в письме:

informa que: Telefуnica te estб engaсando.

«correo.movistar.net» передает SMS сообщения на телефоны испанской сети MoviStar.
Номер телефона определяется адресом электронной почты — в нашем примере это
639867159.

Червь посылает на случайные номера столько SMS сообщений, сколько адресов
содержится в адресной книге MS Outlook.

Установка троянского файла

Для того, чтобы установить на компьютере троянскую программу, червь создает
в системном каталоге Windows файл «Cmos.com» и записывает в него код, который
хранится в теле червя.

Для автоматического запуска троянца червь добавляет в системный реестр ключ:

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com    

При очередном перезапуске Windows троянец автоматически получает управление,
стирает информацию CMOS и таблицу логических разделов жесткого диска.

Червь создает на диске файл «C:TIMOFONICA.TXT» со следующим содержанием:

Commentarios
….Tarifa plana de 6000 pts/mes. Extorsi╨n. A principio de 1.998 tras un
seguimiento de su gesti╨n se descubrieron numerosas irregularidades en su
gesti╨n, amparadas hasta el momento, en el desconocimiento que nosotros tenэamos
sobre Internet. Compras de materiales, que nunca apareci╨ por ning╥n lado,
pero si la factura del proveedor. …. Yo pienso que si Timofonica (ke a fin
de kuentas es la dueёa de Terra) kiere soltar dineros para una ONG, no le
hace falta hacer este tipo de acto solidario, es mas, me parece misero y ridikula
la kantidad de un millon de pesetas .. Son unos ridikulos de mierda, un millon
de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas
a final de mes supone una pekeёa subidita en las acciones de Terra en Bolsa.
Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, kompararlas
kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran
decir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos
por vicio, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ
TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho , todo lo ke g#ele a
Telefonica SUX, o en castellano tradicional , APESTA ! ….

Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www2.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Visita estas pсginas. Estсs inivitado.

Затем червь модифицирует системный реестр таким образом, чтобы этот файл отображался
(с помощью программы Notepad) вместо запуска любого VBS-файла.

Чтобы восстановить нормальную функциональность VBS-файлов необходимо в командной
строке ДОС-окна запустить следующую команду:

 WSCRIPT //H:WSCRIPT