VBS/Luser 3.0

نام ديگر : 3.0 VBS/Zulu

اين ويروس که به زبان Visual Basic Script) VBS)نوشته شده است.
فايلهايHTML و VBS را آلوده ميکند.هنگاميکه فايل HTML آلوده به اين ويروس توسط نرمافزار Internet Explorer باز شود و يا اينکه فايل، VBS آلوده اجرا گردد Script موجود در فايل آلوده اجرا شده و دو عدد فايل به نامهاي WINSTART.VBE و WINSTART.WSH در مسيرSYSTEM ايجاد ميکند. که در فايل WSH  مسير و نام فايل VBE ايجاد شده وجود دارد که درواقع از اين فايل WSH براي اجراي فايل VBE ايجاد شده استفاده ميگردد.

سپس يک کليد (Key) جديد به نام WinStart و بامحتوايINSTART.WSH در مسير زير

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

موجود در Registry  ثبت ميکند تا هر بار که سيستم بوت ميشود فايل WINSTART.WSH اجرا شده و فايل WINSTART.VBE را اجرا کند. البته از آنجايي که فايلهاي Visual Basic ، VBE کدشده هستند، در صورتي اجرا خواهند شد که Engine . ديکود کننده آنها بر روي سيستم نصب شده باشد.

وقتي که فايل WINSTART.VBE اجرا شود، بطوراتفاقي يکي از مسيرهاي Temp , Samples , Program Files , My Document , Desktop , Help Temprory Internet Files و يا All Users Desktop را انتخاب کرده و تمامي فايلهاي با پسوند HTML , HTM و VBS موجود بر روي مسير انتخاب شده را آلوده ميکند.

 

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.