Архив

I-Worm.Mari — новый интернет-червь

I-Worm.Mari — интернет-червь, распространяющийся во вложениях в электронные письма в виде EXE-файла. Для своего распространения использует MS Outlook. Является 12-килобайтной Win32-программой. Написан на Visual Basic.

Червь подключается к почтовой системе MS Outlook, считывает из адресной книги Outlook почтовые адреса и рассылает по ним сообщения:

Тема: Hi!
Тело: check this out!!!
Вложение: system32.exe

Червь инсталлирует себя в систему. Он сохраняет свои копии в каталогах Windows и WinNT с именем «SYSTEM32.EXE». Червь создает свои копии на текущем жестком диске, если это оказывается не диск C:, то его ожидает глубокое разочарование: червь не сможет запустить свою процедуру распространения. Червь также не сможет инфицировать систему, если Windows инсталлирована в директории с другим именем.

Червь регистрирует себя в секции авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SYSTEM32 = C:WindowsSYSTEM32.exe
или
SYSTEM32 = C:WinntSYSTEM32.exe

‘А’-версия червя (в случае Win9x/ME) также модифицирует файл WIN.INI, добавляя в него ключ автозапуска, который указывает на червя:

[windows]
load=»C:WINDOWSSYSTEM32.exe
open=»C:WINDOWSSYSTEM32.exe»

[winnt] load=»C:WinntSYSTEM32.exe
open=»C:WINDOWSSYSTEM32.exe»

Червь остается в памяти Windows как скрытый процесс и создает в системном трее иконку «marijuana»:

При клике на эту иконку червь выводит сообщение:

IMPORTANT: PLEASE READ

I think i speak for every pot smoker in North America when i say: *Legalize
Marijuana*…I mean if people with AIDS, Cancer and other deaises can use it
then why cant the rest of us (pot smokers) use it?, I dont think that’s very
fair (Do you?). If it’s legal to grow and use in places like: Australia (for
personal use) then why not in North America? If doctors are useing it as a
treatment for illness then it must not be *THAT* harmful (So why can’t other
people use it?). I really do think the federal goverment should consider
legalization of marijuana. Well that’s really all i have to say on the
matter, but i do hope somebody, somewhere listens to what i have to say and
does not just regard this as just another *virus* because it’s more then
that, it’s a message, a message for freedom, the freedom to smoke up and have
the chose to do so *WITHOUT* fear of punishment from the law and the
goverment. Thank you for your time.

В 4:20 и 16:20 червь показывает message box:


The Marijuana Virus!! 
    Its 4:20, Time to toke up :)

Червь также модифицирует следующие ключи системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOrganization = Stoner’s Pot Palace.
RegisteredOwner = Im A Pot Head!

HKCUSoftwareMicrosoftInternet ExplorerMain
HKCUSoftwareMicrosoftInternet ExplorerMain
Start Page = http://my.marijuana.com
Window Title = Marijuana Explorer (LEGALIZE IT!!!)

I-Worm.Mari — новый интернет-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике