VBS_NFLIGHT.A — новый VBS-червь

VBS_NFLIGHT.A — интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). Распространяется в письмах электронной почты, используя MS Outlook, также посылает свои копии в IRC-каналы при помощи клиента mIRC. Содержит ошибки в своем коде, что делает невозможным заражение этим червем посредством сообщения электронной почты, тем самым минимизируя риск инфицирования.

После выполнения VBS-скрипт копирует себя в каталог Windows в виде файла «HELP.TXT.VBS». Затем модифицирует системный реестр:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun = «help.txt.vbs»

Червь также отключает на инфицированной системе различные функции безопасности, такие как:

• устанавливает уровень безопасности Internet Explorer в самый низкий
• устанавливает уровень безопасности в Windows Scripting Host (WSH) в самый низкий;
• делает возможным удаленный запуск скриптов в WSH;
• отключает в MS Outlook предупреждение об открытии VBS-файла.

Червь также имеет следующие способности:

• когда текущий системный день месяца равен 5-ти, блокирует Рабочий Стол (desktop);
• меняет имя зарегистрированного пользователя на «NightFlight», а имя организации на «Carpe Noctem»;
• случайным образом изменяет «обои» Рабочего Стола (wallpaper), при этом используя стандартный набор из каталога Windows;
• добавляет пункт «Start with NightFlight» в контекстное меню, когда пользователь зараженной машины щелкает правой кнопкой мыши на какой-либо файл или папку. Если затем пользователь выбирает этот пункт из меню (по правой кнопке), происходит запуск вирусного скрипта.

Затем червь начинает рассылку своих сообщений по всем адресам, найденным в адресной книге MS Outlook пораженного компьютера. Но при этом, вместо того, чтобы приаттачить VBS-скрипт к сообщению, червь вставляет его в тело письма. Таким образом скрипт не будет исполнен. Червь рассылает сообщения, имеющие следующий вид:

Тема: Hi 🙂
Тело: [исходный код червя]

Файл, который червь предполагал присоединить к сообщению — «WARNING.HTM», записывается в каталог Windows.

Червь ищет все подключенные сетевые диски, на которые разрешена запись, и сохраняет на них свою копию — файл «HELP.TXT.VBS».

Для заражения IRC-каналов червь создает управляющий скрипт SCRIPT.INI в каталоге C:MIRC. Этот скрипт отсылает файл «HELP.TXT.VBS» всем пользователям, подключающимся к зараженному каналу.

Если в зараженной системе инсталлирован «Помощник» Microsoft (он устанавливается по умолчанию в Windows 98 SE), то червь запускает этого агента в образе «Волшебника», с помощью него показывая сообщение:

The Nightflight is still out there!