Quatro.a удаляет все, что "видит"

16.09.2000, 12:10

McAfee сообщает об обнаружении нового деструктивного вируса-червя, написанного на языке Visual Basic Script (VBS).

Quatro.a уничтожает на инфицированном компьютере все файлы во всех директориях на каждом жестком диске при следующем после заражения перезапуске Windows.

Для "работы" червю требуются только операционные системы с установленным Windows Scripting Host (WSH - в Windows98, в Windows 2000 он установлен по умолчанию).

Для своего распространения вирус использует почтовую систему Microsoft Outlook. Червь прибывает на компьютер в виде письма с прикрепленным VBS-файлом с именем UPDATE.VBS, который, собственно, и является телом червя. Червь маскируется под обновление для Internet Explorer 5.5. Тема письма: "UPDATE IEXPLORE 5.5" Тело письма: "La toute nouvelle version de Microsoft Internet Explorer offre de nombreux avantages aux utilisateurs et aux developpeurs. Vous apprecierez en particulier la nouvelle fonction d'aperзu avant impression qui permet d'afficher les pages telles qu'elles se presenteront а l'impression. Grвce а la prise en charge amelioree des langages DHTML et CSS, les concepteurs de sites Web seront en outre plus а mкme de contrфler l'apparence des pages et le fonctionnement du navigateur. Telechargez tous ces elements aujourd'hui а partir des mises a jour de produits".

При открытии пользователем вложенного файла червь запускается на выполнение. Вначале червь проверяет, существует ли на инфицированном компьютере файл c: estfile.txt, и если не находит, то проверяет все файлы с расширениями .txt, .wab, .htm и .html в попытке найти в них какие-нибудь E-mail-адреса. Затем червь создает файл c: estfile.txt и заносит в него все найденные E-mail'ы. По найденным адресам при помощи Microsoft Outlook червь рассылает свои копии.

Далее злодей запускает браузер и открывает страницу: http://www.microsoft.com/windows/ie/download/ie55.htm, затем записывает на машину файл UPDATE.VBS, а также модифицирует системный реестр таким образом, чтобы запускаться при последующем перезапуске системы.

После этого червь выясняет существование файла "c:13a0.txt" на инфицированном компьютере. И если такой файл существует, то процедура удаления файлов не запускается, а отображается сообщение: "VIRUS 13а0 DISABLED".

В обратном случае (если файла "c:13a0.txt" не существует) скрипт начинает искать со всех каталогах на всех дисках и удалять все найденные файлы.
По информации "Лаборатории Касперского".

Читайте також