VBS.Potok.A — первый интернет-червь, использующий потоки NTFS

VBS.Potok.A (aka VBS/Stream, VBS/Vdrive) — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. Работоспособен в среде WindowsNT/2000.

Это первый известный червь, использующий для своего функционирования потоки NTFS. Он пользуется этим методом в попытке скрыть свое присутствие. Вирусный код копируется в потоки NTFS и затем копируется обратно в файл непосредственно перед его выполнением.

При активизации червь копирует себя в каталог WINDOWS в виде файла: driver.doc[множество пробелов].vbs. Затем ищет на текущем жеском диске NTFS партицию. Если не находит, то скрипт прекращает работу. При положительном результате поиска, скрипт создает четыре потока (mail, main, user, group) в файле %WinDir%odbc.ini.

Поток «mail» содержит скрипт с инструкциями рассылать копию червя по первым 50-ти адресам из адресной книги Microsoft Outlook. Собщение, отсылаемое червем имеет следующий вид:

Тема: New Generation of drivers.

Тело:

Microsoft has published new driver for all types Video Cards, compatible with Windows 95/98/NT/2000/XP. You can read about it in attachment document. Best wishes, Microsoft.

Вложение:

driver.doc[пробелы].vbs

Вложенный файл имеет длину 9K и в Microsoft Outlook часто выглядит безобидно — «driver.doc».

Потоки «main», «user» «group» содержат скрипты с инсткуциями для червя создать аккаунт «Lord_Nikon» и добавить этого пользователя в систему как администратора.

Главный скрипт червя сохраняет текст каждого потока в файле %WinDir%SYSTEM32RASNOTEPAD.VBS.

В завершение червь создает файл %WinDir%SYSTEM32GO.VBS, который содержит инструкции считывать каждый поток и записывать его в файл NOTEPAD.VBS, после чего файл GO.VBS запускается на выполнение.

Для дополнительной информации читайте также описание вируса Win2K.Stream, который является первым известным Windows-вирусом, использующем при заражении файлов метод «stream companion». Этот метод основан на возможности файловой системы NTFS создавать дополнительные блоки данных («потоки» данных — streams), которые ассоциированы с конкретным файлом.