Email-Worm.VBS.LoveLetter.ap

Материал из Total Malware Info

Email-Worm.VBS.LoveLetter.ap Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Написана на Visual Basic Script. Имеет размер 7 813 байта.

Содержание 1 Инсталляция 2 Деструктивная активность 3 Характеристики зараженных писем 4 Рекомендации по удалению

Инсталляция

После запуска червь копирует свое тело в следующие каталоги:

%System%\MSKernel32.vbs
%WinDir%\Win32DLL.vbs
%System%\Wish you were Here!.postcard.vbs

Для автоматического запуска, при следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\Current Version\Run]
"MSKernel32" = "%System%\MSKernel32.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32DLL" = "\%WinDir%\Win32.DLL.vbs"

Создает файл-установщик для данного червя:

%System%\Wish you were Here!.htm (10 203 байта, детектируется Антивирусом Касперского, как Type_Script),

который впоследствии будет распаковывать тело червя в файл %System%\MSKernel32.vbs и создавать ключ автозапуска:

[HKLM\Software\Microsoft\Windows\Current Version\Run]
"MSKernel32" = "%System%\MSKernel32.vbs"

Деструктивная активность

Рассылает при помощи MS Outlook по его базе адресов письма. Запускает поиск на диске всех файлов с расширениями:

*.vbs
*.vbe

и дописывает им в конец свое вредоносное тело. Запускает поиск на диске всех файлов с расширениями:

*.js
*.jse
*.css
*.sct
*.dll
*.exe
*.wsh
*.hta

копирует их содержимое в файл с найденным именем, но с расширением *.vbs, дописывает им в конец свое вредоносное тело, а исходный найденный файл удаляет. Запускает поиск на диске всех файлов с расширениями:

*.mp3
*.ini

и дописывает им в конец свое вредоносное тело.

Характеристики зараженных писем

Тема:

Wish you were Here!

Тело:

Wish you were Here! Im having a great time!

Во вложении файл:

%System%\Wish you were Here!.postcard.vbs"

Рекомендации по удалению

1. Удалить все копии троянца на жестком диске
2. Удалить файлы

%System%\MSKernel32.vbs
%WinDir%\Win32DLL.vbs
%System%\Wish you were Here!.postcard.vbs
%System%\Wish you were Here!.htm

3. Удалить ключ реестра

[HKLM\Software\Microsoft\Windows\Current Version\Run]
"MSKernel32" = "%System%\MSKernel32.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32DLL" = "%WinDir%\Win32.DLL.vbs"