Авторы
VBS/Sorry.a (aka VBS/Mcon-B) — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся по компьютерным сетям и чат-каналам. Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).
При активизации червь копирует себя в «%WinDir%fontsttfload.vbs», и делает следующие изменения в системном реестре:
HKLMSoftwareMicrosoftWindowsCurrentVersion
Runttfload=wscript.exe C:WINDOWSfontsttfload.vbsHKCUSoftwareMicrosoftWindows Scripting Host
SettingsTimeout=0
Затем червь ищет в стартовом каталоге Windows файлы с именами «ttfload.vbs» и «sndload.vbs». Если не находит, то удаляет свой .VBS-файл, который был выполнен, и выдает сообщение об ошибке:
FILE I/O ERROR
Червь также записывает свои копии во все найденные им в директории «%WinDir%» каталоги:
- «download»
- «downloads»
- «ftproot»
- «mirc»
- «pub»
- «wwroot»
- Каталоги, содержащие слово «my»
- Каталоги, содержащие слово «share»
- Каталоги, содержащие слово «upload»
- Каталоги, содержащие слово «game»
- Каталоги, содержащие слово «warez»
Помимо этого червь удаляет на зараженной машине каталоги с именами «chode», «foreskin», and «d#ckhair» и предпринимает попытки переслать в IRC-каналы с помощью клиента mIRC измененный файл SCRIPT.INI.
Червь удаляет следующие файлы (обычно ассоциирующиеся с другими известными вирусами):
«network.vbs»
«mscfg.vbs»
«winsock.vbs»
«a24.vbs»
«samples.vbs»
«mscfg.exe»
«ashield.pif»
«netstat.pif»
Червь занимается также тем, что «пингует» случайные IP-адреса на следующих подсетях:
24.*.*.*
172.128.*.*
152.163-175.*.*
205.163.*.*
4.30-45.*.*
151.196-206.*.*
63.194-207.*.*
216.76-79.*.*
3-243.*.*
Если «пингуемые» адреса отвечают, то червь ищет «зашаренные» (открытые для совместного доступа) каталоги на этих машинах, подключается, если возможно, к диску, пытается скопировать файл «sndload.vbs» в стартовый каталог Windows и затем отсоединяет подключенный диск.
С небольшим шансом (1 из 1000) червь может изменить стартовую страницу в Internet Explorer на «http://www.zonelabs.com/», модифицируя для этого ключ системного реестра:
HKLMSoftwareMicrosoftInternet ExplorerMain
Авторы
От тех же авторов
В той же категории
Sorry.a: новый интернет-червь появился в «диком виде»