VBS/Lovelet-CM — вновь появившийся новый вариант печально известного интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
При активизации червь копирует себя в каталог Windows в виде файла с именем «JENNIFERLOPEZ_NAKED.JPG.vbs». И затем начинает рассылку своих сообщений по всем адресам, найденным в пользовательской адресной книге пораженного компьютера. Письма червя имеют следующий вид:
Тема: Where are you?
Текст: This is my pic in the beach!
Вложение: JENNIFERLOPEZ_NAKED.JPG.vbs
Червь также ищет на всех доступных локальных и сетевых дисках файлы с расширениями .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG, .MP2 and .MP3 и затем перезаписывает их своим кодом. При этом:
- Оригинальные расширения .JS, .JSE, .CSS, .WSH, .SCT и HTA червь изменяет на «.VBS».
- Оригинальные расширения .JPG and .JPEG на двойные, соответственно, .JPG.VBS and .JPEG.VBS.
- Ищет все музыкальные файлы с расширениями .MP2 или .MP3 и также перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».
Червь также создает в системном реестре ключи:
HKCUsoftwareJENNIFERLOPEZ_NAKED
значение которого — «Worm made in algeria»HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run
значение которого — имя файла червя
Затем червь начинает рассылку своих сообщений по всем адресам из адресной книги Microsoft Outlook инфицированной машины.
И в заключение своей злодейской деятельности червь записывает на пораженный компьютер файл-дроппер, содержащий один из вариантов очень опасного вируса W95/CIH, также известного под именем «Чернобыль».
VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя