Архив

DragonBall — новый интернет-червь

I-Worm.DragonBall — интернет-червь, представляющий собой скрипт, написанный на VBS. Может рассылаться по каналам IRC, а также пытается отправить свои копии по e-mail. Но так как тело червя содержит несколько фатальных ошибок, он не может распространяться в письмах электронной почты.

При запуске скрипта он создает свои копии в системных каталогах:

C:WindowsWinsock.vbs
C:WindowsSysdir.vbs
C:WindowsSystemmillioner.vbs
C:WindowsSystemDragonBall.vbs
C:WindowsSystemDragonBall.cab

А также создает три скрипта в каталоге, где установлен IRC:

C:mIRCmirc.ini
C:mIRCscript.ini
C:mIRCupdate.ini

Скрипты для IRC предназначены для того, чтобы червь мог рассылать себя по каналам IRC. Поскольку имена каталогов «C:Windows» и «C:mIRC» прописаны
в теле червя, он не сможет выполнить эти процедуры, если операционная система и IRC установлены в другие каталоги.

После этого червь изменяет несколько ключей системного реестра и значение двух параметров в файле WIN.INI. Таким образом, червь всегда будет запускаться на выполнение при каждом старте операционной системы. Кроме этого червь изменяет стартовую страницу Internet Explorer’а на «http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg».

Затем червь активизирует процедуру собственного распространения. Для этого он открывает адресную книгу MS Outlook, и для каждого встреченного адреса создает письмо следующего содержания:

Тема: Hello ;] Текст: Hi , check out this game that j sent you (funny game from the net:]).

К каждому письму червь пытается приклеить файл со своим телом «dragonball.vbs». Ввиду того, что в теле червя содержатся ошибки, процедура рассылки неработоспособна, и поэтому червь не может распространяться по электронной почте.

В завершение всего червь выводит дилоговое окно:

Dragon Ball Z by YuP
 Thank you,and bye bye DragonWorld!!!
 [ OK ]

Технические детали

DragonBall — новый интернет-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике