VBS.Yeno.C@mm là một loại “bom thư” có khả năng phát tán tới các địa chỉ thu thập được trong sổ địa chỉ Microsoft Outlook. Sâu cũng có khả năng lây nhiễm vào các file .vbs, .vbe, .htm, .html trong ổ C, D, và E của máy tính nạn nhân.
Hệ điều hành lây nhiễm:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Khi thực thi, VBS.Yeno.C sẽ tiến hành các tác vụ sau:
* Thay đổi thuộc tính của sâu thành dạng “archive” (lưu), system (hệ thống) và hidden (ẩn).
* Tự nhân bản vào thư mục hệ thống: %System%\OXNEY.C.VBS.
* Bổ sung vào khoá registry giá trị sau:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion
\SPINX
* Bổ sung giá trị:
"SPINX" = "Wscript.exe %System%\OXNEY.B.VBS %"
… vào khoá registry sau để sâu có thể tự động chạy mỗi lần Windows khởi động:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion
\Run
* Bổ sung giá trị:
"Load-Guard" = "Wscript.exe %Windir%\LGuarg.exe.vbs %"
…vào khoá registry sau để sâu có thể tự động chạy mỗi lần Windows khởi động:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion
\RunServices
* Bổ sung giá trị:
"GeneralTab" = "1"
…vào khoá registry sau để sâu có thể tự động chạy mỗi lần Windows khởi động:
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
* Bổ sung các giá trị:
"Window Title" = "Micosoft Internet Explorer Provided by : Spidey"
"Start Page" = "Spidey.uni.cc"
… vào khoá registry sau để sâu có thể tự động chạy mỗi lần Windows khởi động:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
* Tự nhân bản vào thư mục: "a:\I am sorry.txt.vbs" nếu thời gian của hệ thống có giá trị là 2.
* Tìm kiếm tất cả các file có phần mở rộng là: .htm va .html trong ổ C, D, hoặc E, rồi lây nhiễm vào các ổ đĩa này bằng cách chèn một số đoạn script vào các file sau:
%System%\OXNEY.B.VBS
%Windir%\LGuarg.exe.vbs
- Chú ý: Sâu không tạo ra các file này. "%Windir%" là một biến tham chiếu tới thư mục cài đặt của Windows, mặc định là: C:\Windows hoặc C:\Winnt.
* Tìm kiếm các file có phần mở rộng: .vbs và .vbe trong ổ C, D, hoặc E để lây nhiễm bằng cách copy đoạn mã trên.
* Sử dụng MS Outlook để gửi e-mail tới các địa chỉ khác trong sổ địa chỉ của Outlook với file đính kèm lấy từ: %System%\OXNEY.B.VBS. E-mail này sẽ mang các đặc điểm sau:
- Tiêu đề:
Fw: I give you again
- Thông điệp:
Spidey has give you some password of xxx site
(cute) Spidey