Gabry — новый интернет-червь, рассылающий себя по E-mail

«Лаборатория Касперского» сообщает об обнаружении нового интернет-червя, получившего название I-Worm.Gabry.
Интернет-червь написан на скрипт-языке Visual Basic Script (VBS). Первая
инструкция червя содержит текст-копирайт «Gabry», по которй червь и получил
свое название.

Распространяется в электронных письмах и при активизации рассылает себя с
зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые
хранятся в адресной книге Outlook.

Известная версия червя содержит ошибку, в результате которой червь не в
состоянии рассылать зараженные письма. Однако, эта ошибка может быть легко
исправлена и червь будет в состоянии распространять свои копии по сетям
Инетрнет.

Червь также способен заразить локальную сеть. Для этого ищет доступные
сетевые ресурсы (диски) и копирует на них свой файл. Червь не может
запустить свои копии на удаленных компьютерах и способен заразить их только
в том случае, если они будут активизированы пользователем.

Червь попадает на компьютер в виде электронного письма с характеристиками:

Тема: I’am missing U
Текст: Could u remember me ?
Вложение: Y072QWV.VBS

При активизации (если пользователь открывает вложение) червь копирует себя
под именем Y072QWV.VBS в системный каталог Windows и регистрирует этот файл
в системном реестре с секции авто-запуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
«Y072QWV» = %Windir%Y072QWV.VBS

где Windir — имя системного каталога Windows.

Затем червь заражает локальную сеть — копирует себя с именем Y072QWV.VBS в
корневые каталоги всех сетевых дисков, доступных на запись.

При рассылке зараженных сообщений червь получает доступ к MS Outlook,
открывает адресную книгу, достает оттуда все адреса и рассылает по ним
письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя
прикрепленного файла те же, что и выше.

По той причине, что файл червя зарегистрирован в системном реестре как
авто-запускаемое приложение, червь затем активизируется каждый раз при
старте системы. Однако, рассылка писем происходит только при каждой 20-й
перезагрузке Windows. Для этого червь создает счетчик своих запусков и
хранит его в системном реестре в ключе:

HKEY_LOCAL_MACHINE «Y072QWV» = номер запуска