NOPED: VBS-червь ловит любителей детской порнографии

NOPED — интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook. Попадает на компьютер в присоединенном файле с именем «END ILLEGAL child porn NOW.TXT…………vbe». Не содержит деструктивных проявлений.

При активизации (если пользователь открывает вложение) червь модифицирует свойства письма и рассылает свои копии в следующих сообщениях:

Тема: FWD: Help us ALL to END ILLEGAL child porn NOW
Тело: Hi, just a quick e-mail. Please read the attached
document as soon as you can. Thanks.
Вложение: END ILLEGAL child porn NOW.TXT…………vbe

Затем червь модифицирует системный реестр с целью изменить стартовую страницу в Internet Explorer:

HKCUSoftwareMicrosoftInternet ExplorerMain
Start Page
«http://www.geocities.com/antipedo2001»

HKCUSoftwareMicrosoftInternet ExplorerMain
Window Title
«|.,.-*^*-.,. FUAHACKEDU@888.NU /.,.-*^*-.,.|»

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
RunFua «wscript.exe (infected file) %»

HKCUSoftwareMicrosoftWindowsCurrentVersion
RunOnce1 (infected file), «REG_SZ»

HKCUSoftwareMicrosoftWindowsCurrentVersion
RunOnce2(infected file), «REG_SZ»

Если значение следующего ключа системного реестра не равно нулю, то червь запускает процедуру массовой рассылки своих копий:

HKCUSoftwarePolyDATE1

Если значение следующего ключа системного реестра меньше 6-ти, червь вычитает это значение из числа вхождений в инфицированной адресной книге:

HKCUSoftwareMicrosoftWABPOLY

Чиcло рассылаемых сообщений червя определяется результатом предыдущего вычитания. В противном случае (если значение ключа >=6) число писем червя выбирается случайным образом. Червь отвечает также на все письма, не содержащиеся в папках: «Sent Items,» «Outbox,» или «Drafts», присоединяя к письмам свою копию, например:

Тело сообщения: This is important, please read the attached file. Thanks.

Если на зараженном компьютере установлена версия Windows Scripting Host выше, чем 5, то червь задерживает процесс рассылки на некоторое время. В противном случае он модифицирует другой набор ключей системного реестра и затем записывает текстовый файл во временную директорию, после чего открывает этот файл, используя для этого C:WINDOWSNotepad.exe. После выполнения своей программы червь удаляет текстовый файл. Затем предпринимает попытки отправить новый набор сообщений по адресам, случайно выбранным из адресной книги Microsoft Outlook. Эти сообщения имеют следующие характеристики:

Тема: RE: Child Pornography
Тело:

Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience.