Архив

DragonBall — новый интернет-червь

I-Worm.DragonBall — интернет-червь, представляющий собой скрипт, написанный на VBS. Может рассылаться по каналам IRC, а также пытается отправить свои копии по e-mail. Но так как тело червя содержит несколько фатальных ошибок, он не может распространяться в письмах электронной почты.

При запуске скрипта он создает свои копии в системных каталогах:

C:WindowsWinsock.vbs
C:WindowsSysdir.vbs
C:WindowsSystemmillioner.vbs
C:WindowsSystemDragonBall.vbs
C:WindowsSystemDragonBall.cab

А также создает три скрипта в каталоге, где установлен IRC:

C:mIRCmirc.ini
C:mIRCscript.ini
C:mIRCupdate.ini

Скрипты для IRC предназначены для того, чтобы червь мог рассылать себя по каналам IRC. Поскольку имена каталогов «C:Windows» и «C:mIRC» прописаны
в теле червя, он не сможет выполнить эти процедуры, если операционная система и IRC установлены в другие каталоги.

После этого червь изменяет несколько ключей системного реестра и значение двух параметров в файле WIN.INI. Таким образом, червь всегда будет запускаться на выполнение при каждом старте операционной системы. Кроме этого червь изменяет стартовую страницу Internet Explorer’а на «http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg».

Затем червь активизирует процедуру собственного распространения. Для этого он открывает адресную книгу MS Outlook, и для каждого встреченного адреса создает письмо следующего содержания:

Тема: Hello ;] Текст: Hi , check out this game that j sent you (funny game from the net:]).

К каждому письму червь пытается приклеить файл со своим телом «dragonball.vbs». Ввиду того, что в теле червя содержатся ошибки, процедура рассылки неработоспособна, и поэтому червь не может распространяться по электронной почте.

В завершение всего червь выводит дилоговое окно:

Dragon Ball Z by YuP
 Thank you,and bye bye DragonWorld!!!
 [ OK ]

Технические детали

DragonBall — новый интернет-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике