VBS.Mcon.b размножается в локальной сети

VBS.Mcon.b — это сетевой червь, который распространяется, создавая свои копии на локальных и сетевых дисках, а также сканируя сети на предмет досупных IP адресов.

Будучи запущеным (пользователем либо автоматически — из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог «Fonts»). Затем он прописывает скопированный файл в системном реестре таким
образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от «Fonts» и «Startup», он завершает работу имитируя системную ошибку сообщением:

ERROR
FILE I/O ERROR

Если же червь был запущен из каталога «Fonts» (при старте Windows), он запускает процедуру распространения.

Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге создает копию файла червя. Имя файла выбирается следующим образом: из списка последних используемых пользователем файлов (Recent files) случайным образом выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь затем расширение «.vbs». Таким образом настоящее расширение файла «.vbs» спрятано пробелами и не отображается в проводнике.

После сканирования дисков червь начинает сканировать сеть. Он случайным образом выбирает IP адрес, если он недоступен выбирается следующий адрес. Если же адрес доступен (отвечает), то червь копирует на него свою копию.

Если при сканировании дисков червь нашел каталог в имени которого содержится строка «mirc», он создает файл SCRIPT.INI. Скрипт-программа в этом файле
автоматически выполняется при запуске MIRC-клиента. Скрипт записанный червем сканирует сеть аналогично тому, как описано выше. Если он находит доступный IP адрес, на него посылается копия червя.

В одном случае из тысячи червь (в зависимости от счетчика случайных чисел) изменяет стартовую страницу Internet Explorer’a на «http://www.zonelabs.com/»