SATANIK.B: новая версия червя оказалась весьма зловредной

HTML_SATANIK.B — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Также передает свои копии в каналы IRC.

В отличие от предыдущего варианта (HTML_SATANIK.A) новый червь оказался деструктивным: SATANIK.B портит различные типы файлов, перезаписывая их своим кодом, а также уничтожает антивирусные файлы.

При активизации червь сохраняет на зараженном компьютере несколько своих копий:

%Sysdir%Explorer32.vbs
%Windir%EXPLORER.VBS
%Sysdir%satanik.dmk
%Sysdir%MSAppssatanik.dmk

где %Sysdir% — Windows System каталог и %Windir% — каталог Windows.

Для обеспечения своей загрузки при рестарте Window, червь добавляет в системный реестр свои ключи:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunExplorer32 = %Sysdir%Explorer32.vbs

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServicesEXPLORER = %Windir%EXPLORER.VBS

HKEY_CURRENT_USER.dmk = VBSFile

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunIexplore=
«http://users.tmok.com/~dr_bulge/smt1/»

Червь перезаписывает файл AUTOEXEC.BAT своими командами для удаления следующих каталогов:

C:Progra~1Antivi~1*.*
C:Progra~1Networ~1McAffe~1*.*
C:Progra~1Norton~1*.*
C:Progra~1Fsi*.*

Затем червь выводит на дисплей зараженного компьютера следующее сообщение:

Windows loading…
SATANIK CHILD S A T A N I K C H I L D SATANIK CHILD A
virus by Satanik Child has been detected!
Windows is destroyed! (c) SC

Червь проверяет присутствие на инфицированной машине каталогов C:MIRC или C:MIRC32. Если клиент MIRC установлен, то червь создает управляющий скрипт SCRIPT.INI в каталоге C:MIRC (C:MIRC32). Этот скрипт отсылает файл червя всем пользователям, подключающимся к зараженному IRC-каналу.

Червь также рассылает свои копии по электронной почте по всем адресам, содержащимся в адресной книге Microsoft Outlook. При этом червь применяет следующую схему: проверяет ключ системного реестра, значение которого соответствует количеству запусков червя на инфицированном компьютере:

HKEY_LOCAL_MACHINEExplorer32

После каждых 20 выполнений вирусного кода, червь производит рассылку своих копий.

Сообщения червя имеют следующие характеристики:

Тема: I picked this one especially for you my Sweetheart!
Тело сообщения: I wanna fuck you like an animal!
Вложение: с разными именами

Червь перезаписывает своим кодом следующие типы файлов, добавляя к ним VBS-расширение:

MP3, MP2, WAV, TXT, DOC, LOG, BMP, GIF, JPG, FLA, JS, HTML, SWF, WMF, PNG, HTM, AVI, MID, ZIP, RAR, PIF, PDF

Помимо прочего, червь способен распространяться по локальной сети, записывая на все доступные сетевые диски, включая съемные диски, свои копии в виде файла SATANIK.DMK.