Virus.VBS. Saraci

Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде.

Вирус написан на языке Visual Basic Script (VBS). Содержится в веб-страницах в зашифрованном виде. Инфицирует HTML, HTM и HTT-файлы.
Деструктивная активность

Во время открытия зараженной веб-страницы происходит расшифровка и выполнение кода вируса. Для своего запуска вирус использует уязвимость Microsoft VM ActiveX Component (MS00-075).

Вирус может запускаться и в момент открытия пользователем папок в проводнике. Если в проводнике включен режим веб-интеграции, то автоматически во время навигации по папкам происходит выполнение скриптов, которые находятся в файлах folder.htt.

После запуска вирус выполняет следующие действия:

  • создает новую машину сценариев при помощи инициализации ActiveX компонентов Windows Script Host Shell Object и FileSystem Object. Это делается для того, что бы вирус получил возможность создавать, изменять, заражать, удалять каталоги, файлы и т.д.;
  • получает полный путь к папке %WinDir%\WEB и к файлу folder.htt (находится в этой же папке), после чего заменяет оригинальный файл зараженным;
  • ищет и заражает файлы с расширениями HTM, HTML и HTT в папке %WinDir%\WEB;
  • проверяет папку, в которой находится исполняемый зараженный файл на наличие файлов с расширением HTT. Если такие файлы не найдены, вирус создает в этой папке файл desktop.ini и создает каталог Folder Settings, в котором создается инфицированный файл folder.htt;
  • производит запись в реестр следующих значений:
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    [HKLM\Software\Microsoft\Internet Explorer\Main]
     "Default_Page_URL"="http://www.geocities.com/*****_marie_tolentino/index.htm"
     "Start Page"="http://www.geocities.com/*****_marie_tolentino/index.htm"
     "Local Page"="http://www.geocities.com/*****_marie_tolentino/index.htm"
  • Производит проверку на выполнение условия Mid(FormatDateTime(Now(), 2), 1, 4) = "9/26". В случае выполнения, 26 сентября происходит перезагрузка компьютера.

Другие названия
Virus.VBS.Saraci («Лаборатория Касперского») также известен как: VBS.Saraci («Лаборатория Касперского»), VBS/Soraci (McAfee),   VBS.Soraci (Symantec),   VBS.Soraci (Doctor Web),   VBS/Soraci-A (Sophos),   VBS/Redolf.F* (RAV),   VBS_SORACI.A (Trend Micro),   VBS/Saraci (H+BEDV),   VBS/Sarachi.A (FRISK),   VBS:Malware (ALWIL),   VBS/Soraci (Grisoft),   VBS.Soraci.A (SOFTWIN),   VBS.Soraci (ClamAV),   VBS/Soraci.A (Panda),   VBS/Soraci.A (Eset)