VBS/European-A: еще один «дикий» червь замечен в интернете

VBS/European-A — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook.

При активизации червь создает каталог C:startup (если такой не существует) и сохраняет там свою копию в файле c одним из следующих имен:

«startup.bll»
«start.bll»
«winstart.bll»
«autoexec.bat.bll»
«win.ini.bll»
«config.bll»
«windoh.bll»
«fooled.bll»
«nothing.bll»
«gotcha***.fooled.bll» (где *** — 16 пробелов)

Затем регистрирует расширение «.BLL», как расширение для VBS-файлов, добавляя в системный реестр специальный ключ (HKCROOT.bll). Червь также создает в каталоге Windows файл «URGENT.TXT***.vbs» (где *** 17 пробелов перед «.vbs») и вносит изменения в реестр, чтобы этот файл выполнялся всякий раз при старте системы.

Затем червь предпринимает попытки добавить свой код в начало всех HTML, HTA, OCX, DLL, BAT, EXE, VBS и VBE файлов в текущей директории.

Если на зараженном компьютере инсталлирован Outlook, червь создает в каталоге Windows еще одну свою копию — файл с одним из следующих имен:

«Readme.TXT***.vbs»
«SECURE.JPG***.vbs»
«MyDildo.jpg***.vbs»

где *** — 2, 3, 3 пробела, соответственно.

После этого червь пытается разослать этот файл по электронной почте в виде вложения по всем адресам адресной книги MS Outlook. Тема и текст сообщения выбираются беспорядочно из следующих вариантов:

Тема сообщения может быть одной из следующих:

• «Something very special»
• «I know you will like this»
• «Yes, something I can share with you»
• «Wait till you see this!»
• «Check out this picture of me masturbating»

Варианты текста сообщения:

• «Hey you, take a look at the attached file. You won’t believe your eyes when you open it!»
• «Run this vulnerable script checker to see if your system is vulnerable to malicious scripts.»
• «Did you see the pictures of me and my battery operated boyfriend?»
• «My best friend,This is something you have to see! Till next time»
• «Is the Internet that safe? Check it out»

И, в заключение, червь без какой-либо цели, просто так, 10 раз откроет Notepad.