Данный червь имеет размер 1851 байт. Написан на Visual Basic Script (VBS).
Распространяется путем самокопирования на компьютеры локальной сети.
Деструктивная активность
При запуске вирус выбирает случайный IP-адрес сети, первый октет которого равен 24 (к примеру, 24.91.52.0), и пытается подключиться ко всем компьютерам в этой сети, перебирая последний октет адреса в пределах от 1 до 255.
В случае успешного подключения на зараженные компьютеры добавляется общий сетевой диск z:.
Затем червь копирует файл «c:\windows\startm~1\programs\startup\Net-Enh.vbs» в каталог автозагрузки на сетевом диске:
z\windows\startm~1\programs\startup
Далее в корневой каталог диска z: копируется файл «c:\netwk.log».
После этого сетевой диск отключается.
В ходе деятельности на компьютере пользователя червь создает лог-файл, в который записывает информацию о проделанной работе:
С:\network.log
Опасность данного вируса очень мала благодаря низкой скорости распространения. Поиск потенциального компьютера-жертвы занимает достаточно много времени, к тому же большинство машин, как правило, не бывают подключены в сеть требующимся червю способом.
Другие названия
Worm.VBS.Netlog.h («Лаборатория Касперского») также известен как: VBS.Netlog.h («Лаборатория Касперского»), VBS/Netlog.worm (McAfee), VBS.Network.D (Symantec), VBS/Netlog-H (Sophos), VBS/Netlog.H* (RAV), VBS_NETLOG.H (Trend Micro), VBS/Netlog.H (FRISK), VBS:Malware (ALWIL), VBS/Netlog (Grisoft), VBS.Netlog.E (SOFTWIN), VBS/Netlog.B (Panda), VBS/NetLog.H (Eset)
Спойлер: она начинается с подписки на наш канал