Интернет-червь SATANIK больше болтает, чем делает

В «диком виде» обнаружен интернет-червь HTML_SATANIK.A, распространяющийся в письмах электронной почты. Написан на языке Visual Basic. Для своего распространения червь использует MS Outlook. Червь приходит на компьютер в виде письма электронной почты в формате HTML. Помимо зараженного HTML, письма содержат прикрепленные файлы, Т.е. для заражения компьютера достаточно просто открыть инфицированное сообщение.

Вирус записывает свои копии в корневой и системный каталоги Windows, а также вносит изменения в системный реестр, чтобы обеспечить свое выполнение при последующих стартах системы. Червь не содержит в себе деструктивного кода, а только пугает пользователя инфицированной машины сообщениями о новом разрушительном интернет-черве.

После выполнения червь для отвлечения внимания пользователя показывает на экране компьютера сообщение о новом грозном интернет-черве, а это время занимается тем, что записывает свои копии в корневой и системный каталоги Windows в виде следующих файлов:

%WinDir%WINDOWS.VBS
%WinDir%SCRIPT.VBS
%WinDir%NATAS.VBS
%SysDirVBSCRIPT.VBS
%SysDirDEMONIK.VBS
%SysDir%SATANIK_CHILD.VBS

А также создает следующие ключи системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunVBSCRIPT=%SysDir%VBSCRIPT.VBS

HKEY_LOCAL_MACHINESSoftwareMicrosoftWindows
CurrentVersionRunDemonik%WinDir%DEMONIK.GOD

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
anti-windows=%WinDir%DEMONIK.GOD

Помимо этого червь создает в в корневом каталоге Windows собственную директорию, содержащую файл FROM_SATANIK_CHILD.TXT, названия поддиректорий которой выглядят в основном, как ругательства:

%WinDir%DemonikSATANIK CHILDHas Fucked Up Your
ComputerDont Be SurprisedSATANIK CHILD Is An Evil Mother

FuckerBecause He AlsoInstalled A DEMONIC
WORMThe Funny
Thing ThoughAntiVirus Companies Do Not Recognize It Yet

После этого червь, используя MS Outlook, начинает рассылать зараженные HTML-сообщения, в которые внедрен его код, по всем адресам, содержащимся в адресной книге инфицированного компьютера. Сообщения червя имеют следующие характеристики:

Тема: Demonik_Worm_VBS
Тело сообщения: Some people may find this offensive
but I HAD to know what you think.
Вложение: Info_ON_New_WORM.vbs

или

Тема: WARNING: A NEW DESTRUCTIVE WORM HAS BEEN DISCOVERED»
Тело сообщения: This worm might not even be detected yet. DEMONIC_WORM»
Вложение: Evil_VBS.vbs

Если в дисководе «A» зараженной машины находится диск, то червь сбрасывает на него свой файл под названием NATAS.VBS, а также записывает еще один файл — DEMONNIK.BAT в StartUp-каталог Windows и «I-n-f-o O-n N-e-w D-a-n-g-e-r-o-u-s W-o-r-m.Ink» на Рабочий Стол (Desktop). При перезагрузке системы DEMONNIK.BAT удалит следующие антивирусные файлы:

C:MCAFEE*.DAT
C:PROGRA~1MCAFEE*.DAT
C:PROGRA~1ANTIVI`1*.AVC
C:PROGRA~1NORTON*.*