Компьютерные вирусы, вредоносные программы

Интернет-червь, распространяющийся по каналам IRC. Червь также имеет процедуры для распространения в электронных письмах, но они не работают из-за ошибок в коде червя.
Проникновение на компьютер

Автор червя поместил зараженную HTML страницу на сайте www.geocities.com. Заголовок страницы:

<< THE 40 WAYS WOMEN FAIL IN BED

Червь "Jer" использует "топорный" метод проникновения на компьютер. На веб-сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на "дыры в голове", т.е. что пользователь автоматически ответит "да", чтобы отвязаться от назойливой скрипт-программы. Тем самым он пропустит на свой компьютер Интернет-червя.

2 июля 2000 года информация об этой странице была анонсирована в нескольких каналах IRC, после чего количество посещений этой страницы превысило 1000 за первый день. К счастью, червь не может быстро распространяться из-за ошибок в коде рассылки писем.

Зараженная HTML страница содержит VBS-скрипт (тело червя), который автоматически выполняется при открытии страницы и червь активизируется. Червь создает копию зараженной HTML страницы в системном каталоге Windows с именем JER.HTM и регистрирует ее в системном реестре в секции автозапуска:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GinSenG = "JER.HTM"

В результате червь автоматически активизируется при каждой загрузке Windows.
Распространение

Затем червь переходит в каталог C:\MIRC и, если такой каталог существует, создает в нем файл SCRIPT.INI. Этот файл содержит команды которые исполняет клиент mIRC во время своей работы. Червь записывает в этот файл команды, которые отсылают файл JER.HTM на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер. Кроме того, эти команды предоставляют доступ к локальному диску тому, кто написал в IRC канале указанное в команде кодовое слово.
Деструктивное воздействие

Червь отключает некоторые функции системы:

* Отображение значков на рабочем столе
* Поиск файлов
* Настройку сетевого окружения
* Возможность выключить компьютер

Также меняется информация о регистрации Windows:

Пользователь: I Love You, Min
Организация: GinsengBoyо 2000

Нейтрализация червя

Чтобы восстановить работоспособность системы нужно восстановить измененные червем ключи системного реестра.

ВНИМАНИЕ: Изменять ключи системного реестра рекомендуется только опытным пользователям. Некорректное изменение может привести к серьезным проблемам и возможно к необходимости переустановки Windows. Информацию о том, как изменять ключи системного реестра, можно найти в справке программы Registry Editor (REGEDIT.EXE), пункт "Changing Keys And Values".

Следующие ключи должны быть удалены из системного реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GinSenG

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetup

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose

Значения этих ключей должны системного реестра быть исправлены на правильные:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Version - версия Windows (например "Windows 98").

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner - имя пользователя, на которого зарегистрирована эта копия Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization - название организации, на которую зарегистирована эта копия Windows