31 sierpnia 2001

VBS.Hard - udaje ostrzeżenie od firmy Symantec

Jest to robak internetowy napisany w języku programowania Visual Basic Script (VBS). Rozprzestrzenia się w postaci zainfekowanych wiadomości e-mail wysyłanych do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook Express. Robak działa tylko na komputerach z zainstalowanym pakietem Windows Scripting Host (WSH).

Robak dociera do komputera w postaci wiadomości e-mail zawierającej plik "www.symantec.com.vbs". Zainfekowana wiadomość wygląda następująco:

Temat: "FW: Symantec Anti-Virus Warning"
Treść:

----- Original Message -----
From:
To: ; ;
; ;
; ;

Subject: FW: Symantec Anti-Virus Warning

Hello,

There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!

Symantec has first noticed it on April 04, 2001.

The attached file is a description of the worm and how it replicates itself.

With regards,
F. Jones
Symantec senior developer

Po uaktywnieniu przez użytkownika, robak tworzy stronę z fałszywym ostrzeżeniem o nieistniejącym wirusie VBS.AmericanHistoryX_II@mm i wyświetla ją. Następnie szkodnik tworzy kilka dodatkowych plików w celu późniejszego ich rozesłania.

Pierwszy plik o nazwie "c:\www.symantec_send.vbs" zawiera skrypt, który przy pomocy programu MS Outlook Express rozsyła zainfekowane wiadomości.

Drugi plik, "c:\message.vbs", zawiera skrypt wyświetlający 24 listopada poniższą wiadomość:

Some shocking news
Don't look surprised!
It is only a warning about your stupidity
Take care!

Robak umieszcza obydwa te pliki w sekcji auto-run rejestru systemowego i w rezultacie jego skrypty przejmują kontrolę po każdym uruchomieniu systemu operacyjnego.

Dodatkowo robak ustawia fałszywą witrynę informującą o wirusie jako stronę startową programu Internet Explorer.