Архив

CARACULA.A : появился новый деструктивный скрипт-вирус

PHP_CARACULA.A — новый скрипт-вирус, преставляет собой скрипт-программу на языке PHP (Hypertext Preprocessor scripting language). Распространяется через IRC (Internet Relay Chat), вставляя свой код в конец HTM, HTML и PHP файлов. Вирус также заражает файлы с расширениями .EXE, .OCX, .SYS, .BAT и .VXD в системном каталоге Windows, перезаписывая их своим кодом.

После выполнения вирус выводит на дисплей некое сообщение об ошибке, а сам тем временем ищет файл SCRIPT.INI, определяя, установлен ли на зараженном компьютере клиент MIRC. При нахождении этого файла, вирус записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает его копию каждому пользователю, который подключается к каналу.

Затем вирус создает в корневой директории C: каталог «a _MSPHP» и записывает туда файл MS.PHP, который содержит его копию. Вирус также создает файл MSPHP.INI, содержащий следующий текст:


[MSPHP]

Microsoft PHP Support
This folder and the ms.php file into it will help your computer and you web browser to move one step more into the world of PHP.

Microsoft wants you to enjoy the high technology available on the net in this day, so to make this ability Microsoft developed a new product named MSPHP that will help you and your computer to know the PHP language.

This folder was created automaticly bu MSInternetExplorer Live Update. If you want to uninstall this options do not delete the folder or the file because then you may cause damage to your computer just send email to msphp@microsoft.com and we will tell you how to uninstall it.

Copyright Microsoft (c) 2001

После этого вирус уничтожает содержимое файла MSDOS.SYS и заполняет его «мусором», что приводит к тому, что инфицированная система больше не загружается. Содержимое файла MSDOS.SYS после бесчинств вируса будет представлять собой следующее:

[Paths]
WinDir=G:_SymMicrosoftWindows
WinBootDir=A:Systemini
HostWinBootDrv=R»

[OPTIONS] BootMulti=6
WinVer=Infected Version
MsDos By Microsoft
Xxxxxxxxxxxxxxxxxxxxxxxxx

Вирус портит файл CONFIG.SYS, также заполняя его «мусором»:

[Windows] device=C:Windows??ss.sys
device=C:_msdos90.sys
device=C:Windowsnotepad.exe
Are you ready to slide ?????

После этого вирус удаляет на инфицированном компьютере следующие файлы:

C:Windowsregedit.exe
C:WindowsSystemMshtml.dll
C:WindowsSystemWsock.vxd
C:WindowsSystemWinspool.drv
C:WindowsSystemvxblock.dll

Вирус ищет файлы со следующими расширениями и добавляет свой код в конец этих файлов:

HTM
HTML
PHP

В системном каталоге Windows вирус перезаписывает своим кодом файлы, имеющие следующие расширения:

EXE
OCX
SYS
BAT
VXD

CARACULA.A : появился новый деструктивный скрипт-вирус

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике