Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

VBS.Hard - informuje o nieistniejącym wirusie

Jest to robak internetowy napisany w języku Visual Basic Script (VBS). Rozprzestrzenia się poprzez pocztę elektroniczną wysyłając zainfekowane wiadomości z zarażonych komputerów, korzystając z programu MS Outlook Express.

Wirus dociera do komputera jako wiadomość e-mail z załączonym plikiem www.symantec.com.vbs. Wiadomość wygląda następująco:

Temat: "FW: Symantec Anti-Virus Warning"

Treść:

----- Original Message -----
From: warning@symantec.com
To: supervisor@av.net; security@softtools.com;
mark_fyston@storess.net; directorcut@ufp.com;
pjeterov@goldenhit.org; kim_di_yung@freeland.ch;
james.heart@macrosoft.com
Subject: FW: Symantec Anti-Virus Warning

Hello,

There is a new worm on the Net. This worm is very fast-spreading and very dangerous!

Symantec has first noticed it on April 04, 2001.

The attached file is a description of the worm and how it replicates itself.

With regards,
F. Jones
Symantec senior developer

Po uruchomieniu robak tworzy i wyświetla fałszywą stronę informującą o nieistniejącym wirusie VBS.AmericanHistoryX_II@mm. Następnie szkodnik tworzy kilka plików, które wykorzystuje podczas rozprzestrzeniania się.

Pierwszy plik o nazwie "c:\www.symantec_send.vbs"zawiera skrypt, który wysyła wiadomości do wszystkich kontaktów zgromadzonych w książce adresowej programu MS Outlook Express.

Drugi plik, "c:\message.vbs", zawiera skrypt wyświetlający 24 listopada poniższą wiadomość:

Some shocking news
Don't look surprised!
It is only a warning about your stupidity
Take care!

Obydwa pliki umieszczane są w sekcji auto-run rejestru systemowego co powoduje, że skrypty robaka uruchamiane są wraz z każdym startem systemu Windows.

Dodatkowo wirus rejestruje fałszywą stronę informującą o wirusie jako stronę startową programu Internet Explorer.

Aby uniknąć powtórnego rozsyłania zainfekowanych wiadomości z tego samego komputera wirus tworzy klucz rejestru:

"HKLM\SOFTWARE\Microsoft\WAB\OE Done"

i ustawia jego wartość na "Hardhead_SatanikChild".



 2001-05-14  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych