Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Этот интернет червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook Express и рассылает себя по всем адресам, которые хранятся в адресной книге Windows. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию).

Червь распространяется в электронных письмах с прикрепленным VBS-файлом «www.symantec.com.vbs», который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема = «FW: Symantec Anti-Virus Warning»
Текст =

—— Original Message ——
From: [warning@symantec.com]
To: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Subject: FW: Symantec Anti-Virus Warning

Hello,

There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!

Symantec has first noticed it on April 04, 2001.

The attached file is a description of the worm and how it replicates
itself.

With regards,
F. Jones
Symantec senior developer

Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе «VBS.AmericanHistoryX_II@mm». На самом деле такого
вируса не существует.

Затем червь создает несколько файлов:

Первый файл с именем «c:www.symantec_send.vbs» содержит скрипт на языке Visual Basic Script, который отсылает через MS Outlook Express зараженные письма на все адреса в адресной книге Windows.

Второй файл, «c:message.vbs», содержит скрипт, который 24-го ноября выводит сообщение:

Some shocking news
Don’t look surprised!
It is only a warning about your stupidity
Take care!

Оба этих файла червь прописывает в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows.

Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer.

Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ
«HKLMSOFTWAREMicrosoftWABOE Done» и записывает в него значение «Hardhead_SatanikChild».

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	VBS
Описание	Technical Details Этот интернет червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook Express и рассылает себя по всем адресам, которые хранятся в адресной книге Windows. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге. Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). Червь распространяется в электронных письмах с прикрепленным VBS-файлом «www.symantec.com.vbs», который, собственно, и является телом червя. Письмо имеет следующие характеристики: Тема = «FW: Symantec Anti-Virus Warning» Текст = —— Original Message —— From: [warning@symantec.com] To: [supervisor@av.net]; [security@softtools.com]; [mark_fyston@storess.net]; [directorcut@ufp.com]; [pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch]; [james.heart@macrosoft.com] Subject: FW: Symantec Anti-Virus Warning Hello, There is a new worm on the Net. This worm is very fast-spreading and very dangerous! Symantec has first noticed it on April 04, 2001. The attached file is a description of the worm and how it replicates itself. With regards, F. Jones Symantec senior developer Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе «VBS.AmericanHistoryX_II@mm». На самом деле такого вируса не существует. Затем червь создает несколько файлов: Первый файл с именем «c:www.symantec_send.vbs» содержит скрипт на языке Visual Basic Script, который отсылает через MS Outlook Express зараженные письма на все адреса в адресной книге Windows. Второй файл, «c:message.vbs», содержит скрипт, который 24-го ноября выводит сообщение: Some shocking news Don’t look surprised! It is only a warning about your stupidity Take care! Оба этих файла червь прописывает в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows. Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer. Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ «HKLMSOFTWAREMicrosoftWABOE Done» и записывает в него значение «Hardhead_SatanikChild».
	Узнай статистику распространения угроз в твоем регионе

Virus.VBS.Hard

Technical Details