Авторы
W95/Linong — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Не работоспособен в WinNT/2000. Записывает на инфицированный компьютер еще одного интернет-червя, также являющегося VBS-скриптом.
При активизации червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Характеристики сообщения червя выбираются случайным образом из следующих вариантов:
Тема: Bill
Тело: Bill..
Вложение: BillGate.exeТема: Password
Тело:
Here The list of Nude Password Website. All of them Still Active, and few of them are death password
Вложение: 868879.exeТема: MyGirlFriend’ Dogs
Тело: Nice dog…
Вложение: BullBull.exeТема: Sexy Model
Тело: Did you ever see the sexy girls like her
Вложение: Sexy.ExeТема: Olive & Popeye
Тело: Olive And Popeye Cartoon
Вложение: Olive.exeТема: Sweet Lovely
Тело: My Icq Friend Sweet Lovely
Вложение: Lovely.exeТема: Info From CFusion
Тело: You can update your Cfusion Online For Free
Вложение: CFusion.ExeТема: Still Remember You
Тело: She is MY sexy Linong
Вложение: MyLinong.exeТема: Man Choice
Тело: Are You Man or women. This is The sponser from our site The man choice
Вложение: StarMild.exeТема: Need Help
Тело:
Do you need help ? to get money over the internet. You can read the help
Вложение: Help.exeТема: Light up The Night
Тело: Light up The Night PARTY…
Вложение: Light up the night.exeТема: Patch Your CFusion
Тело: Are You Ready Fix Your Cfusion,Please Update
Вложение: PatchFusion…
Червь создает на пораженном компьютере две своих копии:
MyLinong.Exe
868879.exe
BullBull.exe
CFusion.Exe
Help.exe
Kiss.Exe
Light up the night.exe
Lovely.exe
Moly.exe
Olive.exe
PatchFusion.exe
Popeye.exe
Sexy.Exe
StarMild.exe
Затем, чтобы загружаться при старте системы, червь регистрирует эти копии в системном реестре:
HKLMSoftwareMicrosoftWindowsCurrentVersion
RunMyLinongC:WINDOWSSYSTEMMyLinong.exe
HKLMSoftwareMicrosoftWindowsCurrentVersion
RunPCPowerC:WINDOWSPCpower.exe
Червь также создает на диске С: инфицированной машины 501 каталог:
c:Linong I Love U So Much Linong For ever My Love0
c:Linong I Love U So Much Linong For ever My Love1
c:Linong I Love U So Much Linong For ever My Love2
.
.
.
c:Linong I Love U So Much Linong For ever My Love500
Напоследок червь создает в ситемном каталоге WINDOWS файл MyLinong.VBS (около 10 kb), который также является интернет-червем, и регистрирует его в системном реестре:
HKLMSoftwareMicrosoftWindowsCurrentVersion
RunLinongC:WINDOWSSYSTEMMyLinong.vbs
В результате вновь созданный скрипт будет выполняться при старте Windows и создает несколько своих копий:
%WinDir%mylinong.jpg.shs
%SysDir%Kern32Lin.vbs
%WinDir%Vbrun32DLL.vbs
%SysDir%mylinong.jpg.vbs
Затем новоиспеченный червь модифицирует системный реестр:
HKLMSoftwareMicrosoftWindowsCurrentVersion
RunKern32lLin=%SysDir%Kern32Lin.vbsHKLMSoftwareMicrosoftWindowsCurrentVersion
RunServicesVbrun32DLL=%WinDir%vbrun32DLL.vbs
Скрипт также создает и запускает файл %Temp%mylinong.hta, который выводит на дисплей следующий текст:
I Love You
LinongYou are the love of my love, 5173n1n3ty31gh7
Almost One Year.., Miss U
01*29**879
01*29**868
*©*
Скрипт изменяет стартовую страницу Microsoft Internet Explorer на: «http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml». Затем предпринимает попытки разослать «дроппер» червя Linong по всем адресам из адресной книги Microsoft Outlook, присоединив его к сообщению:
Тема: One of this mail
Тело: True Story….
Вложение: mylinong.exe
В заключение червь, случайно перебирая IP-адреса локальной сети, пытается подключиться к разделяемому ресурсу с именем «C». Если это удается, то червь копирует себя на удаленный компьютер в Startup-каталог в виде файла «linong.vbs».
Авторы
От тех же авторов
В той же категории
W95/Linong — новый интернет-червь