VBS/Postcard — новый интернет-червь, способный распространяться по локальной сети

VBS/Postcard — полиморфный интернет-червь, представляющий из себя VBS-скрипт и распространяющий свои копии в письмах электронной почты. Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из пользовательской адресной книги.

Червь заражает .ASP, .HTM, .HTML и .SHTML файлы в каталогах: WINDOWS, WINDOWSSYSTEM и WINDOWSTEMP, добавляя свой скрипт в конец этих файлов. В дополнение к этому червь предпринимает попытки скопировать себя в корень всех подключенных к зараженной машине сетевых дисков.

При первом запуске скрипта, в зависимости от установок защиты в Internet Explorer, на дисплей выводится предупреждающее сообщение:

Some software (ActiveX controls) on this page might be
unsafe. It is recommeneded that you not run it. Do you
want to allow it to run?

Если пользователь позволит запуск скрипта, то происходит заражение компьютера и на экране появляется сообщение червя:

HaPPy NeW Millenium


Happy new year (2001).

Best wishes from:

your dear …

Вирусный скрипт меняет стартовую страницу Internet Explorer на: C:WINDOWSTEMPmillenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}, а также отменяет все устанавки безопасности в Internet Explorer, что позволяет запускаться любым без исключения скриптам.

Червь создает на зараженной машине свои копии в виде следующих файлов:

C:WINDOWSSYSTEMpostcard.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWS2001.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWSSYSTEMdragonball.GT(dan kokoro hikareteku).{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWSTEMPmillenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWSTEMPpost-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Помимо этого червь создает файл C:WINDOWSSYSTEM[db.GT].wsf, в котором содержатся инструкции по рассылке вирусного скрипта всем, кто занесен в адресную книгу Microsoft Outlook инфицированного компьютера. В зависимости от времени дня червь запускает свою процедуру распространения и рассылает сообщения, тема которых может быть одной из следующих:

• Happy new Millenium (read the postcard (attached file))
• Postcard for you is waiting (in attachment)
• Happy 2001 (for more action check attached file)
• Stroke of luck? in 2001? (happy 2001 -read attachment)
• Goodies You have got a postcard (attached file)
• Someone sent you a postcard (in attachment)

Присоединенный файл: C:WINDOWSTEMPpost-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Вирус меняет зарегистрированного собственника Windows на «Lord YuP — [C]apsule [C]orp» и зарегистрированную организацию на «DragonBall GT».

Затем вирус ищет все подключенные сетевые диски и создает свои копии в корне каждого из них в виде файла «docs.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}». После этого червь заражает все файлы с расширениями .ASP, .HTM, .HTML и .SHTML в каталогах WINDOWS, WINDOWSSYSTEM, WINDOWSTEMP.

В системном каталоге C:WINDOWS червь также создает еще один файл с именем «payl0ad.vbe», содержащий скрипт, который запускается в определенное время: 4:32, 4:37 или 4:48 (до или после полуночи) в понедельник, а также в 4:40-45 (до полуночи) или в 2:40-45 (после полуночи) в четверг. Однажды выполнившись, этот скрипт при запуске WordPad блокирует всю клавиатуру и мышь.