«Anna Kournikova»: новый интернет-червь появился в «диком виде»

Сегодня многие антивирусные компании сообщают о появлении в «диком виде» и быстром распространении нового интернет-червя, получившего имя «Anna Kournikova» (aka VBS_KALAMAR.A, VBS/SST, Kalamar, VBS/VBSWG.J, VBS/Onthefly.A, Lee). Риск заражения этим вирусом оценен антивирусными компаниями как высокий. В виде приманки для доверчивого пользователя предлагается посмотреть якобы jpg-файл — фото известной российской теннисистки Анны Курниковой.

Червь представляет из себя VBS-скрипт и распространяется как вложение в электронные письма. При рассылке писем использует MS Outlook.
Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).

Характеристики письма, содержащего червя, следующие:

Тема сообщения: Here you have, ;o)
Тело сообщения:

Hi:
Check This!

Вложение: AnnaKournikova.jpg.vbs

При активизации (при открытии присоединенного файла) червь записывает свою копию в каталоге Windows. Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией.

Червь также модифицирует системный реестр, добавляя в него свой ключ со значением «Worm made with Vbswg 1.50b»:

HKCUSoftwareOnTheFly

В коде червя содержится следующий текст:

▒VBS.OnTheFly Created By On the Fly

▒Vbswg 1.50b

26-го января червь пытается открыть сайт в Нидерландах: www.dynabyte.nl.