Email-Worm.VBS.LoveLetter.aj

Материал из Total Malware Info

Email-Worm.VBS.LoveLetter.aj Троянская программа, выполняющая установку на зараженном компьютере других троянских программ. Имеет размер 11 268 байт. Написана на Visual Basic Script.

Содержание 1 Инсталляция 2 Деструктивная активность 3 Характеристики зараженных писем 4 Рекомендации по удалению

Инсталляция

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"%WinDir%\win.vbs"

Копирует свое тело в каталог Windows:

%WinDir%\very.htm
%WinDir%\win.vbs

Копирует свое тело в системный каталог:

%System%\very-important-txt.vbs

Деструктивная активность

После запуска червь показывает в окне браузера страницу cо следующим текстом:

VERY IMPORTANT PLEASE READ.

This was sent to me so am sending to my complete address book.Some of us have supposed virus protection while others may not......hope this saves someone some grief tho.......thanks

WARNING No. 1

If you receive any CELCOM Screen Saver. Pls. do not install it This screensaver is very cool. It shows a NOKIA with time messages.After it is activated, the PC cannot boot up at all. It goes very slow.It destroys your hard disk. The filename is CELLSAVER.EXE

WARNING No. 2

Bewore! if someone named asks you to check out his page. DO NOT! It is at  {www.geocities.com/vienna/6318}. This page hacks into your C:\drive.DO NOT GO THERE... FOWARD THIS MAIL TO EVERYONE YOU KNOW.

WARNING No. 3

SEND THIS TO EVERYONE IN YOUR CONTACT LIST! THIS IS NO JOKE,OK?

WARNING: If you get an E-mail titled : "Win A Holiday" DO NOT open it.Delete it immediately.Microsoft just announced yesterday. It is a malicious virus that WILL ERASE YOUR HARD DRIVE. At this time there is no remedy.

Forward this to everyone IMMEDIATELY!!

Рассылает при помощи MS Outlook по его базе адресов письмо. Запускает поиск на диске всех файлов с расширениями:

*.vbs
*.vbe

и дописывает им в конец свое вредоносное тело. Запускает поиск на диске всех файлов с расширениями:

*.js
*.doc
*.txt
*.hta

и дописывает им в конец свое вредоносное тело, а также в файл с найденным именем, но с расширением *.vbs. Запускает поиск на диске всех файлов с расширениями:

*.mp3
*.mp2

и создает в их же папке файл с найденным именем, но с расширением *.vbs и записывает в него свое вредоносное тело.

Характеристики зараженных писем

Тема:

Virus Warnings !!!

Тело:

VERY IMPORTANT PLEASE READ THIS TEXT.         TEXT ATTACHMENT.

Во вложении файл:

%System%\very-important-txt.vbs

Рекомендации по удалению

1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

%WinDir%\very.htm
%WinDir%\win.vbs
%System%\very-important-txt.vbs

3. Удалить ключ реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"%WinDir%\win.vbs"