Virus.VBS. Saraci

Во время открытия зараженной веб-страницы происходит расшифровка и выполнение кода вируса. Для своего запуска вирус использует уязвимость Microsoft VM ActiveX Component ( MS00-075 ).

Вирус может запускаться и в момент открытия пользователем папок в проводнике. Если в проводнике включен режим веб-интеграции, то автоматически во время навигации по папкам происходит выполнение скриптов, которые находятся в файлах folder.htt.

После запуска вирус выполняет следующие действия:

• создает новую машину сценариев при помощи инициализации ActiveX компонентов Windows Script Host Shell Object и FileSystem Object. Это делается для того, что бы вирус получил возможность создавать, изменять, заражать, удалять каталоги, файлы и т.д.;
• получает полный путь к папке %WinDir%\WEB и к файлу folder.htt (находится в этой же папке), после чего заменяет оригинальный файл зараженным;
• ищет и заражает файлы с расширениями HTM, HTML и HTT в папке %WinDir%\WEB;
• проверяет папку, в которой находится исполняемый зараженный файл на наличие файлов с расширением HTT. Если такие файлы не найдены, вирус создает в этой папке файл desktop.ini и создает каталог Folder Settings, в котором создается инфицированный файл folder.htt;
• производит запись в реестр следующих значений:
  [HKCU\Software\Microsoft\Internet Explorer\Main]
  [HKLM\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.geocities.com/*****_marie_tolentino/index.htm"
   "Start Page"="http://www.geocities.com/*****_marie_tolentino/index.htm"
   "Local Page"="http://www.geocities.com/*****_marie_tolentino/index.htm"
• Производит проверку на выполнение условия Mid(FormatDateTime(Now(), 2), 1, 4) = "9/26". В случае выполнения, 26 сентября происходит перезагрузка компьютера.