Technical Details
Опасный интернет-червь. Написан на языке Visual Basic Script. Для своего
распространения червь использует MS Outlook 98/2000. При использовании
другой почтовой программы червь не сможет распространять свои копии, но
другие его процедуры будут выполненятся (см. ниже).
Червь приходит на компьютер в письме электронной почты:
Тема письма: FRIEND MESSAGE
Текст письма: A real friend send this message to you.
В письмо вложен файл «FRIEND_MESSAGE.TXT.vbs». В зависимости от настроек
системы настоящее расширение файла («.vbs») может быть не показано. В этом
случае файл отображается как «FRIEND_MESSAGE.TXT».
Вложенный файл содержит скрипт-программу на языке Visual Basic Script. При
двойном щелчке на вложении скрипт-программа получает управление и червь
активизируется.
Вначале червь создает файл «FRIEND_MESSAGE.TXT.vbs» в системном каталоге
Windows и записывает в него свой код. Позже червь использует этот файл для
рассылки своих копий. Затем червь выводит на экран сообщение:
If you receive this message remember forever: A precious friend
in all the world like only you! So think that!
После этого червь запускает свою процедуру распространения. Она получает
доступ к MS Outlook и отсылает зараженные письма всем, кто занесен в
адресную книгу Outlook этого компьютера. Отсылаемые зараженные письма
выглядят так же, как и пришедшее зараженное письмо (см выше). При отсылке
червь сохраняет адреса получателей, которым посланы сообщения, в системном
реестре и не посылает письма дважды на один и тот же адрес.
Червь содержит процедуру, которая переписывает файл «C:AUTOEXEC.BAT». В
него записываются команды уничтожающие все файлы в основном и системном
каталогах Windows, а также в каталоге временных файлов. Эти команды будут
исполнены при перезагрузке системы.
|