VBS_FORGOTTEN.A — зловредный интернет-червь

VBS_FORGOTTEN.A — интернет-червь, написанный на языке Visual Basic Script (VBS). Распространяется посредством электронной почты с помощью Microsoft Outlook и по каналам IRC. Червь инфицирует VBS и VBE файлы, перезаписывая их собственным кодом, а также пытается заразить VBS и VBE файлы в локальной сети — на всех доступных сетевых дисках.

Червь прибывает в письме электронной почты в присоединенном VBS-файле. Тело сообщения имеет HTML-формат, в который также внедрен вирусный скрипт.

При активизации (открытии зараженного письма) червь создает в системном реестре ключ:

HKCurrentUsersoftware(ANSWER) «Worm made wih vbswg 1.50b»

Затем червь записывает свой файл VB1.COM.VBS в системную директорию (WindowsSystem) идобавляет в системный реестр еще один ключ для того, чтобы вирусный код всегда выполнялся при каждом последующем старте системы:

HKLocalMachinesoftwareMicrosoftWindows
CurrentVersionRunvb1 wscript.exe
SystemsFoldervb1.com.vbs

где SystemFolder — системная директория Windows.

Червь создает также следующий ключ:

HKCurentUserSoftware(ANSWER)mailed 0/1

значение ключа = 0, если червь не смог воспользоваться программой OUTLOOK, и значение = 1, если письма червя были успешно разосланы.

Для распространения с помощью клиента mIRC червь создает в системном реестре следующие ключи:

HKCurrentUserSoftware(ANSWER)mirqued 0/1

HKCurrentUserSoftware(ANSWER)pirched 0/1

Если на зараженной машине установлен Outlook, то червь рассылает свои сообщения всем контактам, найденным в адресной книге:

Тема сообщения: «RE: FINANCING»

Тело сообщения:

You need ActiveX enabled if you want to see this e-mail. Please open this message again and click accept ActiveX Microsoft Outlook