30 мая 2000 г.

Компания ⌠Лаборатория Касперского■, российский разработчик антивирусных систем безопасности, сообщила об обнаружении в диком виде Internet-червя I-Worm.FishBurn - очередной разновидности компьютерного вируса ⌠I LOVE YOU■. В отличие от оригинала этот червь распространяется не только по электронной почте, но и по каналам IRC.

    Internet-червь I-Worm.FireBurn представляет собой VBS-скрипт и распространяется как вложение в электронных письмах. При рассылке писем он использует MS Outlook, а также передает свои копии в каналы IRC.

    При активизации (двойной щелчок мыши по вложению в письме) или при запуске пользователем из каталога Download IRC-клиента, червь инсталлирует себя в систему - копирует себя в каталог Windows с именем RUNDLL32.VBS и регистрирует этот файл в секции автозапуска системного реестра, в результате файл-червь активизируется при каждом запуске Windows.

    Заражение почтовой системы

    Червь рассылает себя по всем адресам из адресной книги MS Outlook.. Параметры письма зависят от установленной версии Windows. Имя вложения выбирается случайно из восьми вариантов: Ultra-Hardcore-Bondage.JPG.vbs, Christina__NUDE!!!.JPG.vbs, CuteJany__BigTits!.GIF.vbs, MyGirlfriend__NUDE!.JPG.vbs, Aguiliera__NUDE!!.JPG.vbs, !Jany__Gets-fucked!.GIF.vbs, cute__EmmaPeel!!!.JPG.vbs или Julie17__xxx.GIF.vbs. Копия червя с таким же именем создается в системном каталоге Windows (именно она прикрепляется к отправляемым письмам).

    Заражение IRC

    Червь записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому пользователю, который подключается к каналу.

    С подробным техническим описанием Internet-червя I-Worm.FishBurn можно познакомиться на сайте ╚Лаборатории Касперского╩. В начале мая компания представила и продолжает бесплатно распространять программу перехвата и эвристического анализа скрипт-вирусов AVP Script Checker. Процедуры удаления I-Worm.FishBurn добавлены в очередное ежедневное обновление антивирусной базы AVP.