VBS.Freelink

VBS.Freelink

Вашему вниманию предлагается еще один Internet-червь, также сочетающий в себе функции троянской программы. Обнаружен он был совсем недавно антивирусным центром компании Symantec. Официальное название нового червя - VBS.Freelink. Среда его обитания - Windows 98, Windows 2000 и другие версии Windows, поддерживающие язык VB-скриптов.

Как и в предыдущих разновидностях сетевых червей, распространяющихся по электронной почте, VBS.Freelink использует Microsoft Outlook для автоматической рассылки сообщений с прилинкованным автоинсталлятором. Для этого применяются функции MAPI.

В заголовок рассылаемых сообщений помещается следующий текст: "Check this", а в тело сообщений фраза: "Have fun with these links. Bye".

Если пользователь, получивший такое письмо, по неосторожности запустит прилинкованный файл (который является инсталлятором червя), будут произведены следующие действия. VBS.Freelink создаст в директории C:\WINDOWS\ файл LINKS.VBS, а в директории C:\WINDOWS\SYSTEM\ - файл RUNDLL.VBS. Также файл LINKS.VBS будет создан на всех сетевых дисках, которые на момент запуска инсталлятора были доступны с инфицированной машины.

Следующим пунктом действий червя является модификация registry (чтобы червь запускался автоматически после перезагрузки). Для этого там прописывается следующая строка: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Rundll=RUNDLL.VBS.

После всех вышеперечисленных действий VBS.Freelink выводит на экран диалоговое окно с заголовком "Free XXX links" и следующим содержанием: "This will add a shortcut to free XXX links on your desktop. Do you want to continue?". Если пользователь на данный вопрос отвечает утвердительно, то на рабочем столе создается ярлык с линком на порно-сайт.

Также во время инсталляции червь ищет на диске пользователя директории, которые могут содержать известные IRC-клиенты (MIRC32.EXE или PIRCH98.EXE). Для этого осуществляется поиск C:\MIRC, C:\PIRCH98, C:\PROGRAM FILES (и сканирование всех вложенных). Если он находит какую-нибудь из этих программ, он модифицирует файл SCRIPT.INI или EVENTS.INI. После модификации, LINKS.VBS автоматически отсылается другим пользователям IRC-каналов во время работы там владельца зараженного компьютера.

W97M.JulyKiller

Очередной из бесконечной серии макро-вирусов W97M.JulyKiller (его еще называют Autoexec, JulyKill) впервые был обнаружен 1 июля сего года на полуострове Тайвань. W97M.JulyKiller по сути является макро-вирусом под Microsoft Word 97. Он, по оценкам специалистов-вирусологов, не получит очень большого распространения, однако из-за его деструктивной компоненты может все-таки нанести некоторый ущерб информации на зараженных компьютерах. JulyKiller заражает Global Template (файл NORMAL.DOT), а также добавляет в открываемые документы новый автозапускаемый шаблон, который создается самим вирусом в корневой директории диска C:\ и называется AUTOEXEC.DOT. Деструктивная компонента вируса активизируется во время открытия или закрытия, а также создания нового документа и действует на протяжении июля месяца. Сутью же деструктивной компоненты является замена существующего пакетного автозапускаемого файла AUTOEXEC.BAT на другой, который содержит команду для удаления всех файлов с диска C:.

W97M.JulyKiller состоит из одного модуля, названного "A". Этот модуль содержит четыре практически идентичные функции: AutoOpen, AutoNew, AutoClose и AutoExec. Эти функции активизируются, когда в Microsoft Word создаются, закрываются файлы или когда загружается сам Word. Как только одна из функций получает управление, она делает следующее:

1) Создает новый автозапускаемый шаблон или же добавляет его содержимое в C:\AUTOEXEC.DOT. С помощью этого действия модифицируется путь для автозапуска (он принимает значение "C:\" вместо стандартного "C:\...\MSOffice\Office\STARTUP").

2) Отключает внутреннюю антивирусную защиту Word97.

3) Удаляет все модули из открытых документов и шаблонов, которые называются AutoOpen, AutoNew, AutoClose или FileSave, включая NORMAL.DOT.

4) Копирует модуль "A" во все открытые документы и шаблоны, включая NORMAL.DOT.

5) Модифицирует последовательности ALT-F8 и ALT-F11 для вызова посредством них функции "FileSaveAs". Модифицирует последовательности ALT-F1 и ALT-F2 для вызова "Tools-Macro-Macros" и "Tools-Macro-VisualBasicEditor".

6) Модифицирует меню Tools таким образом, что вызов таких пунктов, как Customize, Templates-and-Add-Ins, Options, Macro-Macros и Macro-VisualBasicEditor, приводит к выполнению функции AutoClose.

7) Устанавливает для всех видимых панелей инструментов запрет на изменение конфигурации.

8) Если текущий месяц - июль, запускает деструктивную компоненту.

Деструктивная компонента

В течение июля при открытии, закрытии или создании нового файла Word на зараженном компьютере, в действие запускается деструктивная компонента. Она выводит на экран диалоговое окно на китайском языке. Смысл выводимого сообщения - о несправедливости в этом коррумпированном мире. Предлагаемый вариант ответа - "Абсолютно верно". Утвердительный ответ вызывает появление на экране следующего текста: "You are wise, please choose this later again, critically!" ("Вы достаточно умны. Пожалуйста отвечайте так и в следующий раз!").

Изменение вышеприведенного ответа или клик на "Cancel" в течение трех раз подряд вызовет изменение AUTOEXEC.BAT таким образом, что после перезагрузки компьютера стирается все содержимое диска C:.

Напоминаю, что для того, чтобы избежать неприятностей, связанных с компьютерными вирусами, червями и троянскими программами, необходимо пользоваться свежим программным антивирусным обеспечением.

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 27 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета