VBS/777-B: опасный интернет-червь замечен в «диком виде»

Sophos сообщает об обнаружении в «диком виде» нового варианта очень опасного вируса VBS/777.

VBS/777-B в отличие от своего предшественника содержит в дополнение ко всему прочему зловредный код вируса «LoveLetter».

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

Червь прибывает на компьютер по email в виде присоединенного файла.
Зараженное письмо имеет следующие характеристики:

Тема письма: «I HATE YOU»
Тело письма: «kindly check the attached GOODBYE NEWSGROUPS coming from me.»
Присоединенный файл: «MY-FAREWELL-2-NEWSGROUPS.TXT.VBS»

В зависимости от настроек системы настоящее расширение файла («.vbs») может быть не показано. В этом случае присоединенный файл отображается как «MY-FAREWELL-2-NEWSGROUPS.TXT».

Будучи активизированным (при открытии присоединенного файла) червь проверяет Download-каталог Internet Explorer на предмет присутствия в нем файла WinFAT32.exe. Если такого файла не существует, то червь беспорядочно выбирает один из четырех WEB-сайтов и заносит изменения в системный реестр, чтобы по умолчанию в Internet Explorer стартовой страницей была страничка выбранного вирусом сайта. Вместе с этой страницей на компьтер загружается файл WIN-BUGSFIX.exe, который при перезапуске системы выполняется. WIN-BUGSFIX.exe содержит в себе код червя «LoveLetter». А стартовая страница Internet Explorer затем устанавливается пустой.

Червь записывает две свои копии в системную директорию Windows, при новом старте системы они обе запускаются на выполнение.

Для своего распространения червь нуждается в Microsoft Outlook. Если на зараженном компьютере Outlook установлен, то червь открывает базу данных WAB (Windows Address Book) и пытается отправить свои копии по всем найденным адресам.

Затем червь начинает сканировать на зараженной машине все подключенные локальные и сетевые диски, ищет файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT or HTA, все найденные файлы перезаписывает своим кодом и переделывает расширение в .VBS.

Затем червь ищет на всех доступных дисках графические файлы JPG или JPEG и также перезаписывает их своим кодом, прибавляя расширение .VBS к уже существующему. Червь делает копии всех музыкальных MP2 или MP3 файлов с именем MP-файла и расширением .VBS и записывает в них свои копии. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Если червь определяет, что в системе установлен mIRC, то записывает специальный скрипт, который засылает копию червя в IRC-каналы.