Quatro.a «обновит» вам компьютер по полной программе

McAfee сообщает об обнаружении нового деструктивного вируса-червя, написанного на языке Visual Basic Script (VBS).

Quatro.a уничтожает на инфицированном компьютере все файлы во всех директориях на каждом жестком диске при следующем после заражения перезапуске Windows.

Для «работы» червю требуются только операционные системы с установленным Windows Scripting Host (WSH — в Windows98, в Windows 2000 он установлен по умолчанию).

Для своего распространения вирус использует почтовую систему Microsoft Outlook. Червь прибывает на компьютер в виде письма с прикрепленным VBS-файлом с именем UPDATE.VBS, который, собственно, и является телом червя. Червь маскируется под обновление для для Internet Explorer 5.5.

Тема письма: «UPDATE IEXPLORE 5.5»

Тело письма:

«La toute nouvelle version de Microsoft Internet Explorer offre de nombreux avantages aux utilisateurs et aux dйveloppeurs. Vous apprйcierez en particulier la nouvelle fonction d’aperзu avant impression qui permet d’afficher les pages telles qu’elles se prйsenteront а l’impression. Grвce а la prise en charge amйliorйe des langages DHTML et CSS, les concepteurs de sites Web seront en outre plus а mкme de contrфler l’apparence des pages et le fonctionnement du navigateur. Tйlйchargez tous ces йlйments aujourd’hui а partir des mises a jour de produits»

При открытии пользователем вложенного файла червь запускается на выполнение. Вначале червь проверяет существует ли на ифицированном компьютере файл C:TESTFILE.TXT и если не находит, то проверяет все файлы с расширениями TXT, WAB, HTM и HTML в попытке найти в них какие-нибудь email-адреса. Затем червь создает файл C:TESTFILE.TXT и заносит в него все найденные email’ы. По найденным адресам при помощи Microsoft Outlook червь рассылает свои копии.

Далее злодей запускает браузер и открывает страницу:

http://www.microsoft.com/windows/ie/download/ie55.htm

затем записывает на машину файл UPDATE.VBS, а также модифицирует системный реестр таким образом, чтобы запускаться при последующем перезапуске системы.

После этого червь выясняет существование файла «c:13a0.txt» на инфицированном компьютере. И если такой файл существует, то процедура удаления файлов не запускается, а отображается сообщение: «VIRUS 13а0 DISABLED».

В обратном случае (если файла «c:13a0.txt» не существует) скрипт начинает рыться со всех каталогах на всех дисках и удалять все найденные файлы.