"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении нового Интернет-червя VBS.Hard. Служба технической поддержки компании уже получила несколько сообщений от пользователей об инцидентах, вызванных этой...
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении нового Интернет-червя VBS.Hard. Служба технической поддержки компании уже получила несколько сообщений от пользователей об инцидентах, вызванных этой вредоносной программой.
VBS.Hard распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook Express и рассылает себя по всем адресам, которые хранятся в адресной книге Windows. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows98, Windows2000 он установлен по умолчанию).
Червь распространяется в электронных письмах с прикрепленным VBS-файлом "www.symantec.com.vbs", который, собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема = "FW: Symantec Anti-Virus Warning"
Текст =----- Original Message -----
From: [warning@symantec.com]
To: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Subject: FW: Symantec Anti-Virus WarningHello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how it replicates itself.
With regards,
F. Jones
Symantec senior developer
Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе "VBS.AmericanHistoryX_II@mm". На самом деле такого вируса не существует.
Затем червь создает несколько файлов:
Первый файл с именем "c:\www.symantec_send.vbs" содержит скрипт на языке Visual Basic Script, который отсылает через MS Outlook Express зараженные письма на все адреса в адресной книге Windows.
Второй файл, "c:\message.vbs", содержит скрипт, который 24 ноября выводит сообщение:
Some shocking news
Don't look surprised!
It is only a warning about your stupidity
Take care!
Оба этих файла червь регистрирует в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows.
Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer.
Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ "HKLM\SOFTWARE\Microsoft\WAB\OE Done" и записывает в него значение "Hardhead_SatanikChild".
Процедуры защиты от Интернет-червя "Hard" добавлены в ежедневное обновление антивирусной базы Антивируса Касперского от 13 мая.
