Email-Worm.VBS.IFeel

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.VBS.IFeel Почтовый червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма, а также выполняющий деструктивные действия на компьютере пользователя. Имеет размер 35249 байт. Написан на Visual Basic Script (VBS).

Инсталляция

При запуске червь копирует свой исполняемый файл под именем: 

%WinDir%\Magic_Eye.vbs

Деструктивная активность

Если на компьютере установлено приложение MS Outlook, червь начинает рассылку зараженного письма на все контакты, найденные в адресной книге пользователя. Рассылаемое письмо имеет вид: Тема письма выбирается случайно из четырех вариантов: 

Magic eye
This really works
Eye magic
Good magic eye

Тело письма: 

This is good !!!! If you lower the font size it looks better

Вложенный файл: 

Оригинальное тело червя

Далее червь создает файл: 

С:\AVP.txt

прописывая в него такие строки: 

                             . ...
                         .''.' .    '.
                    . '' ".'.:I:.'..  '.
                  .'.:.:..,,:II:'.'.'.. '.
                .':.'.:.:I:.:II:'.'.'.'.. '.
              .'.'.'.'::.:.:.:I:'.'.'.'. .  '
             ..'.'.'.:.:I::.:II:.'..'.'..    .
            ..'.'':.:.::.:.::II::.'.'.'.'..   .
           ..'.'.'.:.::. .:::II:..'.'.'.'.'.   .
          .':.''.':'.'.'.:.:I:'.'.'.'.'.. '..  ..
          ':. '.':'. ..:.::.::.:.'..'  ':.'.'.. ..
         .:.:.':'.   '.:':I:.:.. .'.'.  ': .'.. . ..
         '..:.:'.   .:.II:.:..   . .:.'. '.. '. .  ..
        .. :.:.'.  .:.:I:.:. .  . ..:..:. :..':. .  '.
       .:. :.:.   .:.:I:.:. .    . ..:I::. :: ::  .. ..
       .. :'.'.:. .:.:I:'.        ..:.:I:. :: ::.   . '.
       '..:. .:.. .:II:'         ,,;IIIH.  ::. ':.      .
      .:.::'.:::..:.AII;,      .::",,  :I .::. ':.       .
      :..:'.:II:.:I:  ,,;'   ' .;:FBT"X:: ..:.. ':.    . .
     .. :':III:. :.:A"PBf;.  . .f,1f;;":: :I:..'::. .    ..
     . .:.:II: A.'.';,ff:" .  . ..'..' .: :.::. ':...  . ..
     . .: .:IIIH:.   ' '.' .  ... .    .:. :.:.. :...    .'
     . .I.::I:IIA.        ..   ...    ..::.'.'.'.: ..  . .
      .:II.'.':IA:.      ..    ..:.  . .:.: .''.'  ..  . .
     ..::I:,'.'::A:.  . .:'-, .-.:..  .:.::AA.. ..:.' .. .
      ':II:I:.  ':A:. ..:'   ''.. . : ..:::AHI: ..:..'.'.
     .':III.::.   'II:.:.,,;;;:::::". .:::AHV:: .::'' ..
     ..":IIHI::. .  "I:..":;,,,,;;". . .:AII:: :.:'  . .
     . . IIHHI:..'.'.'V::. "":;;;""   ...:AIIV:'.:.'  .. .
      . . :IIHI:. .:.:.V:.   ' ' . ...:HI:' .:: :. .  ..
      . .  ':IHII:: ::.IA..      .. .A .,,:::' .:.    .
      :.  ...'I:I:.: .,AHHA, . .'..AHIV::' . .  :     ..
      :. '.::::II:.I:.HIHHIHHHHHIHHIHV:'..:. .I.':. ..  '.
   . . .. '':::I:'.::IHHHHHHHHMHMHIHI. '.'.:IHI..  '  '  '.
    ':... .  ''" .::'.HMHI:HHYELLOIHI. :IIHHII:. . . .    .
     :.:.. . ..::.' .IV".:I:IIIHIHHIH. .:IHI::'.': '..  .  .
   . .:.:: .. ::'.'.'..':.::I:I:IHHHIA.'.II.:...:' .' ... . '..
  '..::::' ...::'.IIHII:: .:.:..:..:III:.'::' .'    .    ..  . .
  '::.:' .''     .. :IIHI:.:.. ..: . .:I:"' ...:.:.  ..    .. ..
     .:..::I:.  . . . .IHII:.:'   .. ..".::.:II:.:. .  ...   . ..
  .. . .::.:.,,...-::II:.:'    . ...... . .. .:II:.::  ...  .. ..
   ..:.::.I .    . . .. .:. .... ...:.. . . ..:.::.   :..   . ..
    .'.::I:.      . .. ..:.... . ..... .. . ..::. .. .I:. ..' .
  .'':.: I.       . .. ..:.. .  . .. ..... .:. .:.. .:I.'.''..
  . .:::I:.       . . .. .:. .    .. ..  . ... .:.'.'I'  .  ...
  . ::.:I:..     . . . ....:. . .   .... ..   .:...:.:.:. ''.''
  '.'::'I:.       . .. ....:. .     .. . ..  ..'  .'.:..:..    '"
        :. .     . .. .. .:.... .  .  .... ...   .  .:.:.:..    '.
        :.      .  . . .. .:.... . . ........       .:.:.::. .    .
        :. .     . . . . .. .::..:  . ..:.. .        ::.:.:.. .    .

и запускает его. Затем червь осуществляет поиск файла настроек IRC клиента mIRC - "mirc.ini", в следующих каталогах: 

D:\mirc
D:\program files\mirc
С:\program files\mirc
С:\mirc
C:\windows\mirc
C:\windows\program files\mirc

В каталоге, где был найден файл, червь создает скрипт - файл "Script.ini". Данный файл имеет размер 82 байта и детектируется антивирусом Касперского как IRC-Worm.VBS.Generic  Посредством этого файла червь отсылает копию своего тела всем пользователям, подключающимся к каналу на котором находится зараженный компьютер.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    3. %WinDir%\Magic_Eye.vbs
С:\AVP.txt
  3. Переустановить приложение mIRC, если оно было установлено в каталогах:
    4. С:\
D:\
С:\program files
C:\windows
C:\windows\program files
D:\program files
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.VBS.IFeel»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.