Архив

Червь путешествует по интернету с помощью MSN Messenger

I-Worm.Newpic — вирус-червь, распространяющийся по сетям Интернет при помощи интернет-пейджера MSN Messenger. Является 50-килобайтным EXE-файлом Windows, скомпилированным при помощи VisualBasic.

При старте зараженного файла червь выводит сообщение:

Error
Cannot open file. May be corupted. Replace the file with a new
one and try again.

Затем регистрирует себя в ключе автозапуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MSN Messenger = %filename%

Где %filename% является полным именем файла-червя.

Затем червь ждет входящих сообщений. На каждое пришедшее сообщение он отвечает двумя фразами: :

hey, want me to send my new pic?
i took it yesterday

и ждет ответа. Если собеседник ответил одним из ключевых слов:

sure
yes
yea
guess
ok
send
maybe
go

то червь передает свой EXE-файл и выдает одну из следующих фраз:

alright, here ya go
i hope you like it
there
pweese? 🙂
ok cool

Червь также создает файл «C:Messenger1324Brain1Read Me.txt» и записывает в него текст:

I come in piece. My name is Jerry.
The purpose of me is to spread. I’m not annoying, nor dangerous.
How to remove me:
1) Click Start, select Run. The Run dialog box pops up.
2) Type: msconfig The System Configuration Utility pops up.
3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok.
4) Restart your computer Or press Ctrl — Alt — Del, select MsgSprd from the list, then press End Task.
You may freely delete the files or the ‘C:Messenger1324’ directory.

Червь путешествует по интернету с помощью MSN Messenger

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике