Worm.VBS.Netlog

Technical Details

Этот червь написан на языке Visual Basic Script (VBS). Червь распространяется по локальной сети копируя себя на другие компьютеры сети.

Когда червь запущен, он выбирает случайный IP адрес сети (например 145.65.28.0) и пытется подключится ко всем компьютерам в этой сети, перебирая последний октет IP адреса от 1 до 255. Если подключение произошло, червь
копирует себя на подключенный копьютер в каталоги:

C:
C:WINDOWSSTARTM~1PROGRAMSSTARTUP
C:WINDOWS
C:WINDOWSSTART MENUPROGRAMSSTARTUP
C:WIN95START MENUPROGRAMSSTARTUP
C:WIN95STARTM~1PROGRAMSSTARTUP
C:WIND95

Если же все компьютеры в этой сети недоступны, червь выбирает другой IP адрес сети.

Во время работы червь создает файл “C:NETWORK.LOG” в который записывает все действия, которые он выполняет. Содержимое файла выглядит примерно так:

Log file Open
Subnet : 145.65.28.0
Subnet : 23.44.93.0
Subnet : 50.112.201.0
Subnet : 176.3.138.0
Copying files to : \176.3.138.5С
Successfull copy to : \176.3.138.5С

Опасность этого червя очень мала из-за низкой скорости распространения. Поиск компьютера, который может быть заражен занимает очень много времени, к тому же большинство компьютеров не могут быть подключены используемым червем
способом.