Класс | Email-Worm |
Платформа | VBS |
Описание |
Technical DetailsВирус-червь, рассылающий себя в виде вложений в письма электронной почты при помощи MS Outlook. Является DOS EXE-файлом размера около 30K. При старте червь копирует себя в каталог Windows под именем TYPEDEF.EXE и затем использует этот файл при рассылке писем. Червь также регистрирует файл При инсталляции червь использует 4 варианта имени каталога Windows: C:WINDOWS, C:WIN95, C:WIN98, C:WINNT, и неспособен к распространению, если Windows установлена в каком-либо другом каталоге. Для того, чтобы скрыть свою активность, червь при запуске выводит сообщение об ошибке и завершает свою работу:
При последующих рестартах Windows копия червя (файл TYPEDEF.EXE) автоматически запускается на выполнение. Количество запусков червь сохраняет в специальном счетчике в файле TYPEDEF.INI. В зависимости от этого счетчика (один раз на три запуска) червь активизирует свою процедуру При рассылке писем червь создает в скрипт-файл TYPEDEF.VBS и выполняет его при помощи скрипт-машины Windows. Этот скрипт открывает MS Outlook, выбирает все адреса из адресной книги и рассылает по ним свои копии, прикрепленными к письму. Поле “Тема” письма содержит текст “Check this out”. Имя прикрепленного файла и текст сообщения выбираются из 8 вариантов:
Также в зависимости от своего счетчика червь выводит сообщение: ------ -- - -- - -- -- ---- ---- ---- ---- -- -- -- -- -- -- -- -- ----- -- -- -- ---- ---- ------ -- -- -- -- -- -- -- -- -- -- ---- ---- ---- ---- ----- --- -- ----- --- -- -- -- -- -- --- --- -- --- -- --- -- -- -- ----- --- ----- -- ----- -- -- -- -- -- -- -- -- -- -- -- ----- --- -- --- --- -- --- --
Тело червя также содержит строку-“копирайт”:
|
Узнай статистику распространения угроз в твоем регионе |