Показать сообщение отдельно
muramets
Чиста йо!
Аватар для muramets
Сообщения: 3,367
Регистрация: 30.10.2008
Старый пост, нажмите что бы добавить к себе блог 14 декабря 2011, 00:35
  #4934 (ПС)
-Цитата от MC Way Посмотреть сообщение
Email-Worm.VBS.Agent.j - вирус, удаляющий файлы на диске
Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт по сути затирает файл - файл при этом станется на диске, но в результате будет иметь нулевую длинну.
Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке писька указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом.
это я тебе сказал заткнуться и не умничать?

offline