Email-Worm.VBS.Tossed

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Вирус-червь, рассылающий себя в виде вложений в письма электронной почты при помощи MS Outlook. Является DOS EXE-файлом размера около 30K. При старте червь копирует себя в каталог Windows под именем TYPEDEF.EXE и затем использует этот файл при рассылке писем. Червь также регистрирует файл
TYPEDEF.EXE в секции авто-запуска в файле WIN.INI.

При инсталляции червь использует 4 варианта имени каталога Windows: C:WINDOWS, C:WIN95, C:WIN98, C:WINNT, и неспособен к распространению, если Windows установлена в каком-либо другом каталоге.

Для того, чтобы скрыть свою активность, червь при запуске выводит сообщение об ошибке и завершает свою работу:

PKSFX Self Extraction Utility Version 2.50 03-01-1999
Copr. 1989-1999 PKWARE Inc. All Rights Reserved. Shareware Version
PKZIP Reg. U.S. Pat. and Tm. Off. Patent No. 5,051,745

Error in SFX — Unable to extract !!

При последующих рестартах Windows копия червя (файл TYPEDEF.EXE) автоматически запускается на выполнение. Количество запусков червь сохраняет в специальном счетчике в файле TYPEDEF.INI. В зависимости от этого счетчика (один раз на три запуска) червь активизирует свою процедуру
расылки писем.

При рассылке писем червь создает в скрипт-файл TYPEDEF.VBS и выполняет его при помощи скрипт-машины Windows. Этот скрипт открывает MS Outlook, выбирает все адреса из адресной книги и рассылает по ним свои копии, прикрепленными к письму. Поле «Тема» письма содержит текст «Check this out». Имя прикрепленного файла и текст сообщения выбираются из 8 вариантов:

It seems internet explorer 5 has some kinda bug which leaves some secuirity holes and allows somebody to write files onto your system. I downloaded this fix. I am sending it as an attatchment.
Имя файла: IE5FIX.EXE

I found something to help get rid of those irritating ads that pop up when you go to some sites. I am sending it as an attatchment.
Имя файла: NOADS.EXE

Here are some images you might like. You really need to check them out.
Имя файла: IMAGES.EXE

I am sending some of the coolest pictures known to man. You might want to check them out.
Имя файла: COOLPICS.EXE

Please take a look at these documents. I am sending them compressed in a self extractor.
Имя файла: DOCS.EXE

I am sending you the setup of the latest shareware version of PKZip. It gives excellent compression ratios. You might want to install it.
Имя файла: PKSETUP.EXE

I downloaded a patch to some bug in Internet Explorer. I am sending it as an attatchment.
Имя файла: PATCH.EXE

I downloaded a screen saver with cool effects. I am sending you its installation. Do try it out
Имя файла: SCRNSAVE.EXE

Также в зависимости от своего счетчика червь выводит сообщение:

 ------                                     --
 - -- -                                     --
  --     ----   ----    ----    ----       --
  --    --  -- --      --      --  --   -----
  --    --  --  ----    ----   ------  --  --
  --    --  --     --      --  --      --  --
 ----    ----   ----    ----    -----   --- --

                                -----           ---                --
                                --   --           --                --
                                ---       ---     --      ---       --
                                  ---       --    --        --   -----
                                    ---  -----    --     -----  --  --
                                --   -- --  --    --    --  --  --  --
                                 -----   --- --   ---    --- --  --- --

!!! and scrambled eggs !!!
I-WORM.TSSE
Coded by [Offset]

Тело червя также содержит строку-«копирайт»:

The Tossed Salad and Scrambled Eggs Worm = I-Worm.TSSE. Coded by [Offset]