Архив

Червь Valcard, поющий о любви

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 97K (упакован UPX, распакованный размер — около 132K), написан на Visual Basic.

Рассылка писем

При рассылке писем червь отрывает адресную книгу MS Outlook и рассылает зараженные письма по всем адресам. Зараженные письма содержат:

Имя вложения: ValentineCard.exe

Заголовок случайно выбирается из вариантов:

Текст письма выбирается из вариантов:

В конце текста присутствует имя пользователя зараженного компьютера.


Инсталляция

Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции червь копирует себя в системный каталог Windows с именем «ValentineCard.exe» и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
14th = %SystemDir%ValentineCard.exe

где %SystemDir% — системный каталог Windows.

Проявления

Червь записывает в реестр ключ, означающий, что система уже заражена:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Valentine = true

Затем червь должен проявляться различным образом, но по причине ошибки всегда происходит одно и тоже: червь создает файл «C:evil.jpg», записывает туда WAV-звук (не изображение) и открывает его. Поскольку файл имеет неправильное
расширение («.jpg», а не «.wav»), система отказывается проигрывать этот файл.

Если переименовать его с правильным расширением «.wav», то прозвучит текст: «Somebody loves you».

Червь также должен (но по причине ошибки этого не происходит) открыть окно своего приложения. В заголовке этого окна должен прокручиваться текст:

I Love You !

При нажатии на кнопку окна «About» должно появляться сообщение:

Flash Player
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

По четвергам червь должен перестартовывать Windows.

Червь Valcard, поющий о любви

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике