Subscribe0 0
This is an Internet VBS worm that spreads attached to e-mails. To spread the worm opens MS Outlook, gets access to address book, gets all addresses from there and sends itself to all these addresses. The infected messages have:
Subject: "My-Linong...."
Body: "True Story...."
File name: mylinong.TXT.vbs
When an infected file is run (when a user clicks on attached file and activates it) the worm code gets control. First of all it drops (installs) its components to the system:
%windows%\mylinong.txt.shs
%windows%\SYSTEM\Kern32Lin.vbs
%windows%\Vbrun32DLL.vbs
%windows%\SYSTEM\mylinong.TXT.vbs
and registers some of them in auto-run registry keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Kern32lLin = %windows%\SYSTEM\MSKernel32.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Vbrun32DLL = %windows%\Win32DLL.vbs
The worm also changes the Internet Explorer start page.
The worm creates directories:
?\LINONG I LOVE YOU MY FOLDER1
?\LINONG I LOVE YOU MY FOLDER2
?\LINONG I LOVE YOU MY FOLDER3
and so on till 600:
?\LINONG I LOVE YOU MY FOLDER600
The worm then creates the %TEMP%\mylinong.txt text file and opens it (by default NOTEPAD.EXE opens that file and displays it):
@@@@ @@@@ @@@@@ @@@ @@@ @@@@@@@@@ @@@ @@@ @@@@@ @@@ @@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@@ @@@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @ @@ @@ @@@@ @@ @@ @@ @@ @@ @@ @@@@ @@@@@@@@@@ @@@@@ @@ @@@@@@@@@ @@ @@@@@ @@@@@ @@@@ @@@@ @@@ @@@@ @@@@@ @@@ @@@@ @@@@@@ @@ @@ @@ @ @@ @@ @@ @@ @ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@ @ @@ @@ @@ @@ @@ @@ @@ @@ @@ @@@@@@@@@@@ @@@@ @@@ @@@ @@@@@ @@@ @@@ @@@@@@ I Love You, MyLinong - 5it3Ninty8
Hot Articles