Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Nowy robak skryptowy I-Worm.HappyTime

Jest to robak internetowy rozprzestrzeniający się za pośrednictwem poczty elektronicznej, przy użyciu programu MS Outlook Express i usługi MSMAPI. Robak ten napisany został w języku Visual Basic Script (VBS).

HappyTime dostaje się do komputera jako wiadomość e-mail w formacie HTML lub jako wiadomość tekstowa z załącznikiem - plikiem HTML. W pierwszym przypadku kod skryptu w wiadomości HTML jest automatycznie uruchamiany podczas otwierania wiadomości (robak przejmuje kontrolę). W drugim przypadku, robak jest aktywowany, gdy użytkownik uruchomi załącznik.

Robak rozpoczyna dalsze rozprzestrzenianie dopiero po zainfekowaniu komputera. Zastępuje wtedy plik tapety pulpitu na plik HTML, zawierający kod robaka. Jeżeli pulpit przed infekcją posiadał obrazek jako tło, to obrazek ten nadal będzie widoczny jako tło aktywnego pulpitu przez co w większości przypadków użytkownik nie zauważy tej zmiany. Robak przejmuje kontrolę podczas każdego wyświetlenia pulpitu (na przykład podczas startowania systemu Windows) lub jego odświeżania.

Ponadto robak infekuje wszystkie pliki .HTT w podkatalogu "WEB" katalogu Windows. Pliki te są wykorzystywane przez system Windows do dostosowywania wyglądu folderów w oknach Eksploratora Windows, gdy włączony jest tryb "Zawartość sieci Web w folderach" (na przykład w przypadku katalogu Program Files).

Zarażone pliki aktywują kod wirusa zawsze wtedy, gdy wyświetlane są te specyficzne pliki. Co jakiś czas robak aktywuje się, przejmuje kontrolę, wyszukuje pliki HTM, HTML, ASP, VBS i zaraża je (plik po pliku).

Robak modyfikuje rejestry programu MS Outlook Express, wymuszając na nim tworzenie wiadomości w formacie HTML. W ten sposób robak rozprzestrzenia się w poczcie elektronicznej tworzonej przy użyciu programu Outlook Express. Gdy tworzona jest nowa wiadomość, wykorzystywany jest stworzony przez robaka szablon (plik HTML zarażony przez robaka), który automatycznie jest dołączany do wiadomości przez skrypt robaka.

Za każdym uruchomieniem robak zwiększa licznik swoich uruchomień w rejestrze systemowym i gdy osiągnie ona 366 robak wywołuje jeden z dwóch mechanizmów rozprzestrzeniania się.

Pierwszy z nich polega na tym, że robak pobiera adresy e-mail z książki adresowej MS Outlook i wysyła pod nie zarażone wiadomości.

Drugi mechanizm wyszukuje wszystkie wiadomości w folderze Skrzynka odbiorcza i generuje na każdą wiadomość automatyczną odpowiedź, gdzie temat to "Fw: nazwa_oryginalnej_wiadomości".

Oba mechanizmy wysyłania oparte są o usługi MSMAPI. Zarażone wiadomości nie posiadają żadnego tekstu, a w załączniku mają plik "Untitled.htm", który zawiera kod robaka.

Gdy suma numerów dnia i miesiąca jest równa 13, robak wyszukuje pliki EXE i DLL i usuwa je po jednym podczas każdej aktywacji.



 2001-05-10  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych