Email-Worm.VBS.BubbleBoy
Wszystkie znane wcze艣niej robaki internetowe u偶ywa艂y wsp贸lnego mechanizmu rozprzestrzeniania, czyli do艂膮czania si臋 do przesy艂ek e-mail.
Infekcj臋 robaka
OUTLOOK.BubbleBoy = OUTLOOK.Bubbleboy 1.0 by Zulu
lub (w zale偶nosci od wersji)
OUTLOOK.BubbleBoy = OUTLOOK.Bubbleboy 1.1 by Zulu
jak r贸wnie偶
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
WindowsCurrentVersionRegisteredOwner = Bubbleboy
CurrentVersionRegisteredOrganization = Vandelay Industries
W celu zapewnienia 100% ochrony przed atakami robaka
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP
Je偶eli nie u偶ywasz 偶adnej aplikacji HTML (pliki HTA), mo偶esz zabezpieczy膰 sw贸j system w nast臋puj膮cy spos贸b:
- Kliknij dwukrotnie na ikon臋 "M贸j komputer".
- W oknie kt贸re si臋 pojawi wybierz "Widok" -> "Opcje".
- W oknie "Typy plik贸w" w regionie "Zarejestrowane typy plik贸w" wybierz "HTML Application".
- Wci艣nij przycisk "Usu艅" i potwierd藕 to.
- Zamknij okno opcji.
Robak ten rozsy艂a si臋 przez Internet jako zainfekowana wiadomo艣膰 e-mail. Tym co odr贸偶nia go od poprzedniej generacji robak贸w internetowych jest fakt, 偶e wiadomo艣膰 nie posiada do艂膮czonego pliku. Wirus u偶ywa kilku sztuczek by aktywowa膰 si臋 bezpo艣rednio z cia艂a wiadomo艣ci. Gdy wiadomo艣膰 jest otwierana, robak przejmuje kontrol臋 nad systemem, uzyskuje dost臋p do jego zasob贸w (plik贸w i rejestr贸w systemu), otwiera ksi膮偶k臋 adresow膮 MS Outlook i wysy艂a swoje kopie pod wszystkie znajduj膮ce si臋 w niej adresy (podobnie jak s艂awna
Gdy u偶ytkownik otwiera zainfekowan膮 wiadomo艣膰, skrypt robaka zawarty w wiadomo艣ci jest automatycznie aktywowany i uruchamiany przez MS Outlook. Skrypt ten (wykorzystuj膮c dziury w zabezpieczeniach) tworzy plik UPDATE.HTA w katalogu C:WINDOWSSTART MENUPROGRAMSSTARTUP (w wersji angielskiej) oraz pr贸buje utworzy膰 ten sam plik w katalogu C:WINDOWSMENU INICIOPROGRAMASINICIO (domy艣lna nazwa w hiszpa艅skich systemach Windows).
By si臋 rozprzestrzeni膰 robak wykorzystuje dwie sztuczki. Pierwsza z nich jest opcj膮 MS Outlook pozwalaj膮c膮 tworzy膰 wiadomo艣ci w formacie HTML. Takie wiadomo艣ci mog膮 zawiera膰 skrypty aktywowane podczas wy艣wietlania wiadomo艣ci.
By rozsy艂a膰 swoje kopie i obej艣膰 zabezpieczenia Internet Explorera robak u偶ywa innej sztuczki. W tej chwili s艂abo艣膰 ta jest znana jako
Ten wy艂om w zabezpieczeniach pozwala skryptom HTML tworzenie na dysku plik贸w. Robak wykorzystuje ten fakt by utworzy膰 plik HTA (HTML Application, nowy typ kt贸ry pojawi艂 si臋 wraz z IE5), kt贸ry zawiera g艂贸wny kod wirusa. Plik ten jest tworzony w katalogu startowym Windows co powoduje, 偶e jest on aktywowany podczas ka偶dego uruchomienia Windows. Poniewa偶 jest on uruchamiany jako plik lokalny, robak zawarty w kodzie HTML uzyskuje dost臋p do zasob贸w komputera i bez 偶adnych ostrze偶e艅 IE dostaje si臋 do ksi膮偶ki adresowej MS Outlook i rozsy艂a si臋 pod znajduj膮ce si臋 tam adresy.
Gdy plik UPDATE.HTA jest uruchamiany, robak uruchamia program Outlook i w ukrytym oknie tworzy wiadomo艣膰 do wszystkich adresat贸w. Nowa wiadomo艣膰 ma format HTML i zawiera kod robaka. Temat wiadomo艣ci to "BubbleBoy back!" a jej wygl膮d przedstawiony jest na obrazku poni偶ej:
Po wys艂aniu wiadomo艣ci, by zapobiec dublowaniu wys艂anych wiadomo艣ci, robak tworzy w klucz w rejestrze systemowym. Na ko艅cu robak wy艣wietla na ekranie okno z tekstem:
System error, delete UPDATE.HTA from the startup folder to solve this problem.
Robak zmienia r贸wnie偶 dane o rejestracji Windows (dzieje si臋 to zaraz po aktywacji kodu)
RegisteredOrganization = "Vandelay Industries"