Email-Worm.VBS.Hely

Материал из Total Malware Info

Email-Worm.VBS.Hely Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Программа является файлом сценария языка Visual Basic Script. Имеет размер 6 935 байт. Написана на Visual Basic Script.

Инсталляция

При запуске исполняемого файла червь копирует свое тело под следующими именами:

%WinDir%\system32.dll.vbs
%System%\Mstask.exe.vbs
%Temp%\cookies.txt.vbs

Для автоматического запуска при следующем старте системы червь добавляет ссылки на копии своего исполняемого файла в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"system32.dll" = "%WinDir%\system32.dll.vbs"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Mstask.exe" = "%System%\Mstask.exe.vbs "
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"kuliyuan" = "%Temp%\cookies.txt.vbs "

Деструктивная активность

Далее при помощи сценария административных инструментов WMI(Windows Management Instrumentation) червь завершает следующие процессы:

KAVPlus.exe
PFwmain.exe
RavMon.exe
VPC32.exe
KAV9X.exe
KAVPFW.exe
Rfw.exe
PFW.exe

В том случае, если пять первых символов в названии каталога Windows – "WINNT", червь отправляет на IP-адрес 192.168.0.254 сообщение: "In the LAN,have some worm named *Kely worm*!" Затем червь пытается, в рамках одного сегмента локальной сети, получить доступ к ресурсам с правами администратора. Для установки подключения к удаленным рабочим станциям червь перебирает последний октет IP-адреса 192.168.0.Х (где Х - перебираемый октет) в пределах от 1 до 254 и, при помощи подстановки паролей:

admin
administrator
root
123456
!@#$%^
webmaster
hacker
www
abcdefg
test
test123
windows
654321
admin

пытается получить полный доступ к ресурсам удаленного компьютера. В случае успешного подключения червь копирует файл:

c:\kely.vbs

в скрытый ресурс удаленного компьютера:

\\192.168.0.Х\admin$

После этого червь вновь проверяет название каталога Windows и если оно является "WINNT" – червь регистрирует нового пользователя "kely" с правами администратора и устанавливает для него пароль для входа в систему - "19851217". Затем, при наличии установленного в системе приложения MS Outlook, червь начинает рассылку зараженных писем первым 50 адресатам из адресной книги пользователя. Тема зараженного письма выбирается случайным образом и может быть представлена одним из следующих вариантов:

"Kely's mail!"
"Kely wana know u!"
"Kely is my girlfriend!"
"I love Kely!"
"Kely,I miss u!"

Тело письма: "Do u know,I love Kely very much!" Вложенный файл:

%WinDir%\system32.dll.vbs

Далее червь копирует свое тело во все каталоги и подкаталоги всех доступных съемных, логических и сетевых дисков с именем:

Kely.vbs

После этого червь ищет все файлы с расширением:

"vbs", "vbe", "wsh", "mp3", "dll", "exe", "bak", "sys", "doc", "htm", "xls", "ppt", "zip", "rar", "cab", "jpeg"

и заражает их, замещая оригинальное содержимое файлов своим телом. Затем червь проверяет наличие файла:

c:\kely.DLL.exe

и если такой существует – производит его запуск. В другом случае, червь изменяет стартовую страницу в Internet Explorer, заменяя параметр в ключе системного реестра:

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "*.*.*.*/kely.DLL.exe"

В завершении червь создает на рабочем столе два файла-ярлыка:

%Documents and Settings%\%CurrentUser%\Desktop\Kely.txt.lnk
%Documents and Settings%\%CurrentUser%\Desktop\Whitehouse.url

Файл-ярлык "Kely.txt.lnk" в качестве ресурса указывает на оригинальный файл червя, а также может быть запущен при нажатии комбинации клавиш "CTRL+ALT+e". Файл-ярлык "Whitehouse.url" указывает на ресурс:

http://www.whitehouse.gov

Email-Worm.VBS.Hely

Материал из Total Malware Info

Инсталляция

Деструктивная активность

Рекомендации по удалению

Язык

Навигация

Поиск

Видеокурс