VBS_MILL.F: интернет-червь поздравляет с новогодними праздниками и удаляет файлы

VBS_MILL.F (aka SeasonGreeting) — деструктивный интернет-червь, представляющий из себя VBS-скрипт и распространяющийся с помощью MS Outlook и Internet Relay Chat (чат-каналов) вложениями в сообщения электронной почты. Присоединенный файл, содержащий копию червя, имеет имя «SeasonGreeting.txt.vbs». Червь посылает свои копии всем пользователям, указанным в адресной книге на инфицированном компьютере. Затем создает в определенных директориях дупликаты файлов, не являющихся VBS-файлами, и записывает их с расширением .TXT.VBS. Помимо этого червь модифицирует системный реестр таким образом, что меняются: wallpaper, кнопки мыши и др.

Письмо червя имеет следующие характеристики:

Тема: You got a Christmas E-Card from you friend!

Тело сообщения:

Wishing you a Merriest Christmas!! ;)You got a Christmas Electronic Card from you friend!!Please open attachment to view E-CardE-Card Brought To You By f0xCiTY

Вложение: Season Greeting.txt.vbs

При активизации (открытии пользователем вложенного файла), червь записывает на инфицированный компьютер копию себя — файл SEASONGREETING.TXT.VBS в следующих каталогах:

C:
C:MyDocuments
C:Windows
C:WindowsSystem
C:Program Files

C:WindowsSamplesWSH

Червь также создает папку «WindowsSystemSeasonGreeting» на диске C: и записывает туда еще одну копию файла SEASONGREETING.TXT.VBS. В этой же папке, после перезагрузки системы он создает BAT-файл SEASONGREETINGAUTOEXEC.BAT, содержащий команды удалить все TXT, ZIP и EXE-файлы в директории mydocu~1 после того, как система будет перезапущена снова.

В теле червя содержится следующая текстовая строка:

Evi|SanTa WiSHEs eVeRybOdY a HaPPy x’MaS!!:-)

Червь ищет на зараженном компьютере каталог «My Music», и если находит, то добавляет в свой BAT-файл команды удалить все MP3 и MP2 файлы. Затем вносит многочисленные изменения в системный реестр, что после перезагрузки системы приводит к изменению wallpaper и внешнего вида различных значков: кнопки мыши; редактора Notepad; иконок jpg, gif, exe, mpg файлов и т.д.

Помимо этого червь делает другие мелкие пакости: ищет в корневом каталоге на диске С: и в папке «MyDocuments» все не-VBS-файлы. Затем создает дубликаты всех найденных файлов, сохраняя их с расширением .TXT.VBS. Если же ни одного подобного файла червем не найдено, то он, за неимением лучшего, создает в этих каталогах свою собственную копию.

Для заражения IRC-каналов червь создает управляющий скрипт SCRIPT.INI в каталоге C:MIRC. Этот скрипт отсылает инфицированный файл «SeasonGreeting.txt.vbs» всем пользователям, подключающимся к зараженному каналу, приветствуя их следующим образом:

Evi|SanTa wIsHeS eveRybOdY a mErRy x’Mas