«Crayon of Doom» — ловушка для эротомана

Sophos сообщает о новом VBS-черве под названием «Cod-A» (другое название этого червя «Crayon of Doom»), отмечая при этом, что какие-либо случаи инфицирования этим вирусом неизвестны, и они сообщают об этом черве из-за паники, которую начали другие антивирусные компании.

Червь распространяется по e-mail в присоединенном файле, используя для этого Microsoft Outlook или по каналам miRC и PIRCH IRC (Internet Relay Chat).

Тема сообщения, в котором приходит червь:

«Hey whats up, Important!»

Тело сообщения содержит следующий текст:

«Hey I attached a list for you to this e-mail take a look at it and tell me what you think.»

Присоединенный файл имеет название «Pornlist.doc» и записан в формате Word 6/95. Если открыть этот присоединенный файл, то на дисплее появляется иконка, похожая на иконку .GIF-файла. Если затем дважды кликнуть на появившуюся иконку, то в результате, естественно, не загрузится никакой GIF-файл, а червь скопирует свой дроппер на жесткий диск и затем запустится на исполнение.

Затем червь начинает копировать VBS-файл и зараженный документ Word на все локальные и доступные сетевые диски. Червь также проверяет, существуют ли директории C:MIRC или C:PIRCH98, и если да, то создает скрипт-файл с названием C:MIRCSCRIPT.INI в директории C:MIRC и скрипт-файл с названием C:PIRCH98EVENTS.INI в директории C:PIRCH98. Эти скрипты в свою очередь делают попытку отправить инфицированный файл Pornlist.doc другим пользователям чата (Relay Chat).

Червь изменяет инсталляционные Windows-файлы WIN.INI и SYSTEM.INI, а также добавляет свои записи в системный реестр Windows, чтобы запускаться автоматически при каждом старте системы.