На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Email-Worm

Email-Worm.VBS.Agent.j


Rootkit:  Нет
Видимые проявления:  Обнуляется размер файлов на диске
Заблокирован редактор реестра и диспетчер задач

Опасный вирус с деструктивной функцией. Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт затирает файл. Файл при этом станется на диске, но в результате он будет иметь нулевую длинну.
Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке письма указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом.
Вирус может блокировать запуск редактора реестра и менеджер задач, разблокировать их можно скриптом номер 6 восстановления системы AVZ (AVZ, файл/восстановление системы).

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.