Virus.VBS.Rabfu
Материал из Total Malware Info
Virus.VBS.Rabfu Вредоносная программа, заражающая файлы с расширениями "bmp", "jpg", "jpeg", "gif", "vbs", "vbe", "js", "je", "htm", "html", "chm", "cgi", "txt", "doc", "wav" и "mp3", распространяющаяся по IRC-каналам и по сети Интернет в виде вложений в зараженные электронные письма. Является файлом сценария языка Visual Basic Script (VBS). Имеет размер 6962 байт.
Инсталляция
При запуске вирус копирует свой исполняемый файл под именем:
C:\Windows\System\sein.vbs
а также под одним из следующих имен:
SoupNazi.vbs AL.vbs George.vbs Jerry.vbs Hal.vbs Elaine.vbs Kraimer.vbs Newman.vbs Tron.vbs Colossus.vbs Homer.vbs Odysseus.vbs Romeo.vbs Juliet.vbs Vlad.vbs
в один из данных каталогов:
С: С:\Windows С:\Program Files С:\Windows\system С:\Windows\sendto С:\Windows\command С:\Windows\start menu\programs\startup С:\Windows\command\ebd
Имя копии вируса и каталог выбираются случайным образом. Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<Rnd1>" = "<Rnd2>\<Rnd1> " [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "<Rnd1>" = "<Rnd2>\<Rnd1>"
Где <Rnd1> - одно из случайно выбранных имен вируса; <Rnd2> - один из случайно выбранных каталогов, в который была скопирована копия тела вируса.
Деструктивная активность
Далее вирус заменяет содержимое файла командного интерпретатора (BAT-файла):
С:\autoexec.bat
следующей строкой:
prn Typhoid <By: icarus>
После этого вирус на всех локальных и сетевых дисках выбирает файлы с одним из случайно выбранных расширений:
bmp jpg jpeg gif vbs vbe js je htm html chm cgi txt doc wav mp3
и заменяет их содержимое своим телом, к имени зараженных файлов при этом добавляется расширение "vbs". После этого вирус начинает распространение по IRC-каналам. Для этого он ищет на компьютере пользователя один из следующих файлов:
mirc32.exe mlink32.exe script.ini mirc.ini mirc.hlp
и, затем, создает в каталоге, где находится данный файл скрипт-файл "script.ini", содержащий в себе вредоносный скрипт. Данный файл имеет размер 313 байт и детектируется антивирусом Касперского как Email-Worm.VBS.LoveLetter Посредством этого файла червь отсылает свою копию всем пользователям, подключающимся к тому же каналу, что и зараженный компьютер. Если на компьютере установлено приложение MS Outlook, вирус начинает рассылку зараженного письма на все контакты, найденные в адресной книге пользователя. Рассылаемое письмо выглядит следующим образом: Тема:
<Rnd1>
Телом письма является одна из следующих строк:
Check out the AWESOME game attached! No time to explain! Catch ya later! Kill the pokemon in this game! Check this one out! SouthPark game..... Here is ALOT of funny jokes! Open the attachment to read them. Attached is information on the Monica Lewinsky scandal! A Must Read! <Rnd1> I have attached a politician bowling game! Woo Hoo! Kill the IRS!
Вложенный файл:
<Rnd2>\<Rnd1>
При этом для исключения повторной отсылки писем одним и тем же адресатам в ключе реестра создается параметр с именем адресата, которому было отправлено зараженное письмо:
[HKCU\Software\Microsoft\WAB] "<имя адресата>" = "1"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файл "script.ini" из каталога с установленным клиентом mIRC.
- Удалить файл:
- Восстановить исходное содержимое файла:
- Переустановить приложение mIRC.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<Rnd1>" = "<Rnd2> <Rnd1> " [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "<Rnd1>" = "<Rnd2> <Rnd1>" [HKCU \Software\Microsoft\WAB] "<имя адресата>" = "1"
C:\Windows\System\sein.vbs
С:\autoexec.bat
