VBS_COLOMBIA — новый вариант интернет-червя LOVELETTER

Trend Micro предупреждает о появлении в «диком виде» деструктивного интернет-червя VBS_COLOMBIA (aka VBS/Plan.A, VBS/LoveLetter-AS).

VBS_COLOMBIA является очередной вариацией на тему LOVELETTER. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров, используя для этого почтовую систему Microsoft Outlook. Червь рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Написан он на скрипт-языке Visual Basic Script (VBS) и запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который и является телом червя. Письмо имеет следующие характеристики:

Тема письма: «US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<="
Сообщение в письме: «VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..».
Имя прикрепленного файла: любое (сгенеренное случайным образом), но заканчивающееся на гласную букву. Расширение файла может быть одним из трех: .GIF.vbs, .BMP.vbs или .JPG.vbs

Следует отметить, что тема письма и сообщение могут также представлять собой набор символов, сгенеренный случайным образом.

При активизации (если пользователь открывает прикрепленный файл) червь инсталлирует себя в систему. Он создает в каталогах Windows файлы со своими копиями:

в каталоге Windows: «RELOAD.VBS»
в системном каталоге Windows: «LINUX32.VBS» и файл, имя которого генерится случайным образом

Червь проверяет все локальные и сетевые диски и перезаписывает все найденные файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3 и MP2 своим кодом.

Затем червь проверяет текущую системную дату, и если она равна 17 сентября, то вирус отсоединяет все подключенные пользователем сетевые диски и выводит следующее сообщение:

«Dedicated to my best brother=>Christiam Julian(C.J.G.S.)
Att. <случайное имя> (M.H.M. TEAM