VBS/FreeLink 1.0

اين ويروس که به زبان (Visual Basic Script) VBS نوشته شده است فايلها را آلوده نميکند بلکه دو عدد فايل به نام LINKS.VBS و RUNDLL.VBS دارد که درصورتيکه هر کدام از آنها اجرا شود، فايل ديگر را ايجاد ميکند.
درصورتي که فايل LINKS.VBS اجرا گردد Script موجود در آن فايل RUNDLL.VBS را بر روي مسير SYSTEM ايجاد ميکند. سپس يک کليد(Key) جديد به نام Rundll و با محتواي RUNDLL.VBS در مسير زير

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

موجود در Registry  ثبت ميکند تا هر بار که سيستم بوت ميشود فايل RUNDLL.VBS  اجرا گردد.
بعداز ايجاد فايل RUNDLL.VBS و ثبت آن در Registry، يکMessage Box باعنوان Free XXX links و با متن زير را نشان داده و از کاربر جواب ميخواهد. اگر کاربر Yes را انتخاب کند، فايل FREE XXX LINKS.URL را که يک Internet Shortcut به//www.sublimedirectory.com : ، http است در Desktop  ايجاد ميکند.

This will add a shortcut to free XXX links on your desktop. Do
you want to continue ?

سپس فايل LINKS.VBS را بر روي درايوهاي شبکه کپي ميکند. ضمناً براي تمامي آدرسهايي که در Address Book نرم افزار Outlook Express وجود دارد، يک نامه الکترونيکي (Email) با موضوع "Check this" و با متن "Have fun with these links. Bye" ايجاد کرده و فايل LINKS.BVS را به آن ضميمه کرده و نامه را ارسال ميکند.

در صورتي که فايل RUNDLL.VBS اجرا گردد Script موجود در آن، ابتدا فايل LINKS.VBS را بر روي مسير اصلي Windows ايجاد مينمايد. سپس بر روي ريشه اصلي تمامي درايوها( بجز فلاپيدرايو CD درايو و RAM) درايو به دنبال مسيرهاي MIRC98 و PIRCH ميگردد. درصورتيکه فايلMIRC32.EXE و يا فايل PIRCH98.EXE را بر روي هر يک از دو مسير فوق(در صورتيکه وجود داشته باشند) و يا مسير Program Files پيدا کند، بسته به اينکه کدام يک از فايلهاي موردنظر را پيدا کرده باشد، فايل SCRIPT.INI ويا EVENTS.INI را بر روي آن مسير ايجاد ميکند. اين فايلهاي INI بصورتي نوشته شده اند که هنگام اجراي نرم افزارهاي MIRC98 يا IRCH، فايل LINKS.VBS براي سيستمي که به سيستم آلوده متصل شده است، ارسال گردد.

 

 

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.