Email-Worm.JS. Astrology

Почтовый червь. Рассылает себя по всем найденным в адресной книге MS Outlook на зараженном компьютере адресам электронной почты. Размер червя — 2541 байт.

Данная вредоносная программа работает только на англоязычной и германоязычной ОС Windows.

Инсталляция

В зависимости от языковой версии установленной операционной системы Windows — английской или немецкой, — червь копирует свое тело под именем «start.js» в соответствующую папку автозагрузки:

  C:\Windows\Startmenu\Programs\StartUp\start.js
  

или

  C:\Windows\Startmenu\Programme\Autostart\start.js
  

Деструктивная активность

При помощи приложения MS Outlook червь рассылает всем адресатам из адресной книги письмо с темой "Astrology Report" и текстом "Click on the attached link to see your personal astrology report or visit the website directly". В качестве вложения к письму прикрепляется файл «astrolink.js», содержащий тело червя.

Затем червь дублирует свое тело под разными именами (в зависимости от языковой версии ОС):

C:\Program Files\Kazaa\My Shared Folder\avrilnakedpicslinks.js
C:\Program Files\Kazaa Lite\My Shared Folder\avrilnakedwebsite.js
C:\Program Files\BearShare\Shared\avrilnaked.js

или

C:\Programme\Kazaa\My Shared Folder\avrilnakedpicslinks.js
C:\Programme\Kazaa Lite\My Shared Folder\avrilnakedwebsite.js
C:\Programme\BearShare\Shared\avrilnaked.js

Другие названия

Email-Worm.JS.Astrology («Лаборатория Касперского») также известен как: I-Worm.Astrology («Лаборатория Касперского»), JS/Spth.gen (McAfee), JS.Astrology@mm (Symantec), JS/Spth.Jsg.A.1 (H+BEDV), JS/VGMM (FRISK), JS/Dawn (Grisoft), JS.Astrology.A@mm (SOFTWIN), Worm Generic (Panda)