VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

VBS/Lovelet-CM — вновь появившийся новый вариант печально известного интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

При активизации червь копирует себя в каталог Windows в виде файла с именем «JENNIFERLOPEZ_NAKED.JPG.vbs». И затем начинает рассылку своих сообщений по всем адресам, найденным в пользовательской адресной книге пораженного компьютера. Письма червя имеют следующий вид:

Тема: Where are you?

Текст: This is my pic in the beach!
Вложение: JENNIFERLOPEZ_NAKED.JPG.vbs



Червь также ищет на всех доступных локальных и сетевых дисках файлы с расширениями .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG, .MP2 and .MP3 и затем перезаписывает их своим кодом. При этом:

  • Оригинальные расширения .JS, .JSE, .CSS, .WSH, .SCT и HTA червь изменяет на «.VBS».
  • Оригинальные расширения .JPG and .JPEG на двойные, соответственно, .JPG.VBS and .JPEG.VBS.
  • Ищет все музыкальные файлы с расширениями .MP2 или .MP3 и также перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Червь также создает в системном реестре ключи:

HKCUsoftwareJENNIFERLOPEZ_NAKED
значение которого — «Worm made in algeria»

HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run
значение которого — имя файла червя

Затем червь начинает рассылку своих сообщений по всем адресам из адресной книги Microsoft Outlook инфицированной машины.

И в заключение своей злодейской деятельности червь записывает на пораженный компьютер файл-дроппер, содержащий один из вариантов очень опасного вируса W95/CIH, также известного под именем «Чернобыль».

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *