VBS.Breetnee.A@mm

Nume: VBS.Breetnee.A@mm
Alias: N/A
Tip: Script Mass Mailer
Lungime de cod: 10622 bytes
Descoperit: 04.03.2002
Detectat: 04.03.2002, 13:00 (GMT+2)
Raspandire: Medie
Risk: Scazut
ITW: Nu

Simptome:
Se raspandeste prin Outlook, trimitand un mesaj cu atasament „Britney.chm” care prima adresa din address book.

Scrie urmatoarea cheie in registrii:
„HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\chm” cu valoarea „1”.

Descriere Tehnica:
Daca utilizatorul executa fisierul atasat, virusul se copiaza in directorul Windows (C:\\windows sau C:\\winnt), sub numele de „Britney.chm”.
Va trimite un mail la primul contact din address book cu urmatorul format:
subject:
„RE: Britney Pics”
body:
„Take a look at these pics… Regards, „
attachment:
este virusul – un script vb intr-o pagina de html accesata printr-un fisier chm.

Pentru a nu trimite mai mult de o data acest fisier, va crea o cheie in registrii:
„HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\chm”, cu valoarea „1”.

Virusul se poate raspandi si prin mIRC. Va cauta directorul mIRC mai intai pe hard disk ( driverele C:, D:, E: ) pentru a gasi „mirc.ini”, si in al doilea rand va cauta in registrii cheia
„HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\ChatFile\\DefaultIcon”, pentru a localiza fisierul „mirc.exe” .
Daca gaseste directorul mirc, va crea fisierul „script.ini”, responsanbil pentru trimiterea prin mIRC a fisierului chm.

Dezinfectie:
– manuala: stergeti toate fisierele mentionate ca fiind virus si cheia din registrii: „HKEY_Local_Machine\\Software\\Microsoft\\Windows\\CurrentVersion\\chm”.
– automata: Selectati optiunea de stergere/dezinfectie a fisierelor gasite infectate si scanati sistemul cu BitDefender.

Virus analizat:
Mihaela Stoian
BitDefender
Virus researcher