Email-Worm.JS. Sigbug
Почтовый HTML-червь. Несанкционированно рассылает себя по всему списку адресной книги.
Имеет размер 1889 байт. Написан на языке JavaScript.
Инсталляция
При инсталляции вирус копирует себя под следующим именем:
C:\Recycled\stacey.htm
Деструктивная активность
Червь заменяет подписи писем, отправляемых посредством приложения Outlook Express, при помощи следующих действий:
1. Разрешает использование подписей из внешних файлов:
[HKCU\Identities\%ID_пользователя%\Software\Microsoft\Outlook Express\5.0]
"Signature Flags" = "3"
2. Дает команду Outlook Express использовать подпись под номером «00000000»:
[HKCU\Identities\%ID_пользователя%\Software\Microsoft\Outlook Express\5.0\
signatures]
"Default Signature" = "00000000"
3. Устанавливает ключ системного реестра, который позволяет загружать подпись «00000000» из вредоносного файла:
[HKCU\Identities\%ID_пользователя%\Software\Microsoft\Outlook Express\
5.0\signatures\0000000]
"name" = "Signature #1"
"type" = "2"
"text" = ""
"file" = "C:\RECYCLED\STACEY.HTM"
При помощи Outlook Express червь рассылает на все имеющиеся в адресной книге адреса письмо, темой которого является фраза "Check This Out!", а телом — текст из файла «C:\Recycled\stacey.htm».
Затем устанавливается ключ, указывающий на то, что рассылка была произведена успешно:
[HKCU\Software\JS.Stacey]
"Mailed" = "Yup!"
При каждом запуске названной почтовой программы и открытии зараженного письма червь проверяет текущую дату, и 31 мая каждого года в системах класса Win9x отключает графический интерфейс пользователя.
Другие названия
Email-Worm.JS.Sigbug («Лаборатория Касперского») также известен как: I-Worm.Sigbug («Лаборатория Касперского»), VBS/Generic@MM (McAfee), JS.Sigbug (Symantec), JS.Stacey (Doctor Web), JS/Sigbug* (RAV), JS_SIGBUG.A (Trend Micro), Worm/Sigbug (H+BEDV), JS/Stacey.A (FRISK), JS.Sigbug.A (SOFTWIN), Worm Generic (Panda), VBS/Sigbug.A (Eset)
Наш контент расширяется быстрее Вселенной!
Большой взрыв знаний каждый день в вашем телефоне