Virus.VBS.Saraci

Класс Virus
Платформа VBS
Описание

Technical Details

Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде. Инфицирует HTML, HTM и HTT-файлы.

Payload

Во время открытия зараженной веб-страницы происходит расшифровка и выполнение кода вируса. Для своего запуска вирус использует уязвимость Microsoft VM ActiveX Component (MS00-075).

Вирус может запускаться и в момент открытия пользователем папок в проводнике. Если в проводнике включен режим веб-интеграции, то автоматически во время навигации по папкам происходит выполнение скриптов, которые находятся в файлах folder.htt.

После запуска вирус выполняет следующие действия:

  • создает новую машину сценариев при помощи инициализации ActiveX компонентов Windows Script Host Shell Object и FileSystem Object. Это делается для того, что бы вирус получил возможность создавать, изменять, заражать, удалять каталоги, файлы и т.д.;
  • получает полный путь к папке %WinDir%WEB и к файлу folder.htt (находится в этой же папке), после чего заменяет оригинальный файл зараженным;
  • ищет и заражает файлы с расширениями HTM, HTML и HTT в папке %WinDir%WEB;
  • проверяет папку, в которой находится исполняемый зараженный файл на наличие файлов с расширением HTT. Если такие файлы не найдены, вирус создает в этой папке файл desktop.ini и создает каталог Folder Settings, в котором создается инфицированный файл folder.htt;
  • производит запись в реестр следующих значений:
    [HKCUSoftwareMicrosoftInternet ExplorerMain]
    [HKLMSoftwareMicrosoftInternet ExplorerMain]
     “Default_Page_URL”=”http://www.geocities.com/*****_marie_tolentino/index.htm”
     “Start Page”=”http://www.geocities.com/*****_marie_tolentino/index.htm”
     “Local Page”=”http://www.geocities.com/*****_marie_tolentino/index.htm”
  • Производит проверку на выполнение условия Mid(FormatDateTime(Now(), 2), 1, 4) = “9/26”. В случае выполнения, 26 сентября происходит перезагрузка компьютера.
Узнай статистику распространения угроз в твоем регионе