Email-Worm.VBS. Small.n

Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Имеет размер 1310 байт. Написан на Visual Basic Script.

Инсталляция

При запуске червь создает свою копию в корневом каталоге Windows:

%WinDir%\Troyan.vbs

Для автоматического запуска при каждом последующем старте Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "E-Mail" = "%WinDir%\Troyan.vbs"

Деструктивная активность

Червь рассылает письма по всем найденным в адресной книге пользователя электронным адресам.

Также червь отправляет оповещение на адрес злоумышленника о том, что машина заражена. При этом во вложение помещается pwl-файл, в котором хранятся пароли пользователя.

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресную книгу почтового клиента MS Outlook. После чего организует цикл рассылки своего тела по всем найденным адресам электронной почты.

Характеристики зараженных писем

Письма, отправляемые по адресам, обнаруженным на зараженном компьютере, имеют следующий формат:

Тема письма

Приносим извинения...

Текст письма

Приносим извинения за личное беспокойство. Просим вас выслать Ваш логин
и пароль (желательно без лишних символов) на адрес: support@inbox.ru для повторной
идентификации. Заранее спасибо..."

В качестве файла-вложения червь рассылает свое тело.

Письмо, отправляемое на адрес злоумышленника (*****Snake@inbox.ru), имеет следующий формат:

Тема письма

Лам грохнут!!!

Текст письма

Вот файл с паролями <имя пользователя>

Имя файла-вложения

<имя пользователя>.pwl