Червь VBS/Chick.D обещает нам рассказать нечто о Билле Гейтсе
Техническая лаборатория компании "Panda Software" сообщила о распространении по электронной почте и IRC (Internet Relay Chat) червя VBS/Chick.D, который состоит из компилированного HTML-файла размером 35573 байт и пытается заставить пользователя открыть вложенный файл, якобы содержащий информацию о Билле Гейтсе. Однако при запуске вложения червь создает 2 файла на зараженном компьютере (Mocosoft.chm и Script.ini), благодаря которым он может распространяться дальше. Файл Script.ini создается только при наличии установленного ПО для IRC-чата. После cоздания файлов VBS/Chick.D выводит на экран ряд сообщений.Средства распространения
Червь может распространяться как по электронной почте, так и по IRC. В первом случае, червь рассылает себя каждому третьему адресату, найденному в aдресной rниге в письме со следующими характеристиками:
Тема: FWD : The life of bill gates
Текст письма:
Bill gates, the president of Mocosoft and the man more fuck in the world
Regards
Вложение: MOCOSOFT.CHM
Кроме того, червь вносит следующую запись в Реестре Windows (со значением 1):
HKLM\Software\Microsoft\Windows\CurrentVersion\"chm"
Таким образом, VBS/Chick.C обеспечивает массовую рассылку зараженных писем только один раз, неважно, сколько заражений перенес компьютер-жертва.
Пользователям, подключенным к IRC, червь создает файл SCRIPT.INI для рассылки зараженных писем. Признаки заражения: при запуске файла на экране появляется сообщение, призывающее включить элементы управления Active X для просмотра вложенного файла. Если пользователь нажмет НЕТ, червь не запустится. Однако если нажать ДА, червь начнет искать на дисках C:, D: и E: файл MIRC. INI. Если файл будет найден, в той же папке, где он находится, будет создан файл SCRIPT.INI, необходимый для рассылки червя по IRC. Также червь копирует себя в папку Windows под именем Mocosoft.chm.
При получении по электронной почте данного червя и обнаружении его антивирусной программой удалите это письмо из папок Inbox (Входящие) и Deleted Items (Удаленные). Кроме
того, удалите следующую запись в Реестре Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\"chm"
Источник: официальное сообщение компании "Panda Software"