DragonBall — новый интернет-червь

I-Worm.DragonBall — интернет-червь, представляющий собой скрипт, написанный на VBS. Может рассылаться по каналам IRC, а также пытается отправить свои копии по e-mail. Но так как тело червя содержит несколько фатальных ошибок, он не может распространяться в письмах электронной почты.

При запуске скрипта он создает свои копии в системных каталогах:

C:WindowsWinsock.vbs
C:WindowsSysdir.vbs
C:WindowsSystemmillioner.vbs
C:WindowsSystemDragonBall.vbs
C:WindowsSystemDragonBall.cab

А также создает три скрипта в каталоге, где установлен IRC:

C:mIRCmirc.ini
C:mIRCscript.ini
C:mIRCupdate.ini

Скрипты для IRC предназначены для того, чтобы червь мог рассылать себя по каналам IRC. Поскольку имена каталогов «C:Windows» и «C:mIRC» прописаны
в теле червя, он не сможет выполнить эти процедуры, если операционная система и IRC установлены в другие каталоги.

После этого червь изменяет несколько ключей системного реестра и значение двух параметров в файле WIN.INI. Таким образом, червь всегда будет запускаться на выполнение при каждом старте операционной системы. Кроме этого червь изменяет стартовую страницу Internet Explorer’а на «http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg».

Затем червь активизирует процедуру собственного распространения. Для этого он открывает адресную книгу MS Outlook, и для каждого встреченного адреса создает письмо следующего содержания:

Тема: Hello ;] Текст: Hi , check out this game that j sent you (funny game from the net:]).

К каждому письму червь пытается приклеить файл со своим телом «dragonball.vbs». Ввиду того, что в теле червя содержатся ошибки, процедура рассылки неработоспособна, и поэтому червь не может распространяться по электронной почте.

В завершение всего червь выводит дилоговое окно:

Технические детали