VBS/Loding завлекает пользователя на зараженный сайт

VBS/Loding@MM (VBS_UPDATE) — интернет-червь, представляет собой VBS-скрипт, внедренный в HTML, и живет на web-странице в интернете. Занимается массовой рассылкой писем с зараженной машины при помощи Microsoft Outlook. Для своего распространения использует уязвимость «Microsoft virtual machine vulnerability».

Заражение компьютера этим червем происходит при посещении инфицированной web-страницы с использованием при этом Internet Explorer 4+ (с установками уровеня безопасности в браузере меньше чем HIGH), в результате чего зловредный скрипт активизируется. Скрипт содержит инструкции рассылать по электронной почте всем адресатам, содержащимся в адресной книге Microsoft Outlook, следующие сообщения:

Тема: Computer Secrets !
Текст:

If you are using Win9x/Me, visit the following page will upgrade your pc performance.

If you are not using Win9x/Me or don’t want to upgrade your pc, only forward this page to your friends.
Maybe your friends need it.
http://[XXXXXXXX].topcities.com/[XXXXXXXX].htm

Указанный в этом сообщении URL приведет пользователя на зараженную web-страницу.

Червь также создает на инфицированном компьютере файл C:REGSETTING.REG, который содержит некритичные установки для системы и браузера, и затем импортирует его в системный реестр.