Virus.VBS. Saraci

Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде.

Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде. Инфицирует HTML, HTM и HTT-файлы.
name="doc3">Деструктивная активность

Во время открытия зараженной веб-страницы происходит расшифровка и выполнение кода вируса. Для своего запуска вирус использует уязвимость Microsoft VM ActiveX Component ( MS00-075 ).

Вирус может запускаться и в момент открытия пользователем папок в проводнике. Если в проводнике включен режим веб-интеграции, то автоматически во время навигации по папкам происходит выполнение скриптов, которые находятся в файлах folder.htt.

После запуска вирус выполняет следующие действия:

  • создает новую машину сценариев при помощи инициализации ActiveX компонентов Windows Script Host Shell Object и FileSystem Object. Это делается для того, что бы вирус получил возможность создавать, изменять, заражать, удалять каталоги, файлы и т.д.;
  • получает полный путь к папке %WinDir%\WEB и к файлу folder.htt (находится в этой же папке), после чего заменяет оригинальный файл зараженным;
  • ищет и заражает файлы с расширениями HTM, HTML и HTT в папке %WinDir%\WEB;
  • проверяет папку, в которой находится исполняемый зараженный файл на наличие файлов с расширением HTT. Если такие файлы не найдены, вирус создает в этой папке файл desktop.ini и создает каталог Folder Settings, в котором создается инфицированный файл folder.htt;
  • производит запись в реестр следующих значений:
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    [HKLM\Software\Microsoft\Internet Explorer\Main]
     "Default_Page_URL"="http://www.geocities.com/*****_marie_tolentino/index.htm"
     "Start Page"="http://www.geocities.com/*****_marie_tolentino/index.htm"
     "Local Page"="http://www.geocities.com/*****_marie_tolentino/index.htm"
  • Производит проверку на выполнение условия Mid(FormatDateTime(Now(), 2), 1, 4) = "9/26". В случае выполнения, 26 сентября происходит перезагрузка компьютера.

Другие названия
Virus.VBS.Saraci ( «Лаборатория Касперского» ) также известен как: VBS.Saraci ( «Лаборатория Касперского» ), VBS/Soraci ( McAfee ),   VBS.Soraci ( Symantec ),   VBS.Soraci ( Doctor Web ),   VBS/Soraci-A ( Sophos ),   VBS/Redolf.F* ( RAV ),   VBS_SORACI.A ( Trend Micro ),   VBS/Saraci ( H+BEDV ),   VBS/Sarachi.A ( FRISK ),   VBS:Malware ( ALWIL ),   VBS/Soraci ( Grisoft ),   VBS.Soraci.A ( SOFTWIN ),   VBS.Soraci ( ClamAV ),   VBS/Soraci.A ( Panda ),   VBS/Soraci.A ( Eset )
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.