Virus.VBS.Saraci

Класс Virus
Платформа VBS
Описание

Technical Details

Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде. Инфицирует HTML, HTM и HTT-файлы.

Payload

Во время открытия зараженной веб-страницы происходит расшифровка и выполнение кода вируса. Для своего запуска вирус использует уязвимость Microsoft VM ActiveX Component (MS00-075).

Вирус может запускаться и в момент открытия пользователем папок в проводнике. Если в проводнике включен режим веб-интеграции, то автоматически во время навигации по папкам происходит выполнение скриптов, которые находятся в файлах folder.htt.

После запуска вирус выполняет следующие действия:

  • создает новую машину сценариев при помощи инициализации ActiveX компонентов Windows Script Host Shell Object и FileSystem Object. Это делается для того, что бы вирус получил возможность создавать, изменять, заражать, удалять каталоги, файлы и т.д.;
  • получает полный путь к папке %WinDir%WEB и к файлу folder.htt (находится в этой же папке), после чего заменяет оригинальный файл зараженным;
  • ищет и заражает файлы с расширениями HTM, HTML и HTT в папке %WinDir%WEB;
  • проверяет папку, в которой находится исполняемый зараженный файл на наличие файлов с расширением HTT. Если такие файлы не найдены, вирус создает в этой папке файл desktop.ini и создает каталог Folder Settings, в котором создается инфицированный файл folder.htt;
  • производит запись в реестр следующих значений:
    [HKCUSoftwareMicrosoftInternet ExplorerMain]
    [HKLMSoftwareMicrosoftInternet ExplorerMain]
     «Default_Page_URL»=»http://www.geocities.com/*****_marie_tolentino/index.htm»
     «Start Page»=»http://www.geocities.com/*****_marie_tolentino/index.htm»
     «Local Page»=»http://www.geocities.com/*****_marie_tolentino/index.htm»
  • Производит проверку на выполнение условия Mid(FormatDateTime(Now(), 2), 1, 4) = «9/26». В случае выполнения, 26 сентября происходит перезагрузка компьютера.