San — подарочек ко дню св. Валентина

VBS/San@M — интернет-червь испанского происхождения, 11 февраля был заслан в конференцию Usenet. Распространяется в письмах электронной почты без присоединенных к письму файлов. Код червя представляет из себя VBS-скрипт, который внедрен в HTML, что позволяет червю активизироваться в момент, когда пользователь открывает зараженное письмо. VBS-скрипт частично зашифрован с помощью Vbscript.Encode.

Для своей работы червь использует известную брешь в защите Internet Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability», которая дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл, который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и как следствие запускается при следующем старте Windows.

Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл «loveday14-a.hta» в каталоге «C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (имя каталога автозагрузки для испанской версии Windows).

Этот hta-файл содержит основной код червя и при следующем старте Windows будет исполнен, так как он находится в каталоге автозагрузки.

Червь создает файл «index.html» и делает его подписью пользователя инфицированного компьютера в Outlook Express. В результате письма, отправляемые с зараженной машины будут содержать внедренный вирусный код.

Червь устанавливает стартовую страницу Internet Explorer на некий испанский сайт, содержащий другой вирус под названием VBS/Valentin@MM.

8, 14, 23 и 29 числа каждого месяца червь предпринимает попытки уничтожить на зараженном компьютере содержимое каталогов корневого уровня на диске С: и затем переименовывает все поддиректории, добавляя к оригинальному названию «happysanvalentin». Например: «C:WindowsDesktop» станет «C:WindowsDesktophappysanvalentin».

Код червя содержит следующие комментарии:

«loveday14 by Onel2 Melilla»
«Espaсa ‘feliz san valentin davinia»