Email-Worm.VBS.LoveLetter
Материал из Total Malware Info
Email-Worm.VBS.LoveLetter Троянская программа-почтовый червь, выполняющая рассылку своего тела. Написана на Visual Basic Script. Имеет размер 12179 байт.
Инсталляция
При запуске червь производит копирование своего тела в файлы:
%System%\Rasapi.vbs %WinDir%\Win32API.vbs %System%\HELLO.TXT.vbs %WinDir%\Samples\Wsh\Regcreate.vbs
Для автоматического запуска при следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "Antiviral" = %System%\Rasapi.vbs [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\] "Api32" = %WinDir%\Win32API.vbs
Прописывает автозапуск в файле %WinDir%\system.ini строкой:
shell=Explorer.exe %WinDir%\Samples\Wsh\Regcreate.vbs
Для идентификации установки в системе создает ключ:
[HKLM\Software\Microsoft\Windows\CurrentVersion\] "kike" = "install"
Деструктивная активность
Распаковывает Web-страницу со своим телом и запускает ее:
%System%\kike.HTM (16304 байт, детектируется Антивирусом Касперского, как Email-Worm.VBS.LoveLetter)
Рассылает при помощи MS Outlook по его базе адресов письмо: Тема письма: HOLA Тело письма: HOLA ESTAMOS BUSCANDO GENTE PARA HACER UN CLUB DE HACKER ,PHERAK ,VIRUS Y ETC SI QUIERES UNIRTITE AUNQUE NO TENGAS CONOCIMIENTOS LEE EL ARCHIVO Во вложении файл:
%System%\HELLO.TXT.vbs
Далее червь запускает поиск файлов на жестких и сетевых дисках. Файлы с расширениями "html", "htm", "htt" перезаписывает файлом %System%\kike.HTM Файлы с расширениями "vbs", "vbe" перезаписывает своим телом. Файлы с расширениями "jpg", "jpeg" удаляет, а на их месте под тем же именем, но с расширением "vbs" создает файл и копирует в него свое тело. По 16-м числам каждого месяца файлы с расширениями "js", "jse", "css", "wsh", "sct", "hta" удаляет, а на их месте под тем же именем, но с расширением "vbs" создает файл и копирует в него свое тело. Рядом с файлами с расширениями "mp3", "mp2" под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело. Если в какой-либо папке обнаруживается один из следующих файлов ("mirc32.exe", "mlink32.exe", "mirc.ini", "script.ini", "mirc.hlp"), то в папку распаковывается mIRC-скрипт (файл script.ini, 316 байт, Email-Worm.VBS.LoveLetter), рассылающий файл %System%\kike.HTM всем подключающимся к каналу пользователям.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), а также файлы:
- Заменить в файле %WinDir%\system.ini строку:
%System%\Rasapi.vbs %WinDir%\Win32API.vbs %System%\HELLO.TXT.vbs %WinDir%\Samples\Wsh\Regcreate.vbs %System%\kike.HTM script.ini
shell=Explorer.exe %WinDir%\Samples\Wsh\Regcreate.vbs
строкой:
shell=Explorer.exe
Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "Antiviral" = %System%\Rasapi.vbs [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\] "Api32" = %WinDir%\Win32API.vbs [HKLM\Software\Microsoft\Windows\CurrentVersion\] "kike" = "install"
