Архив

IBLIS.A ловит в свои сети любителей «клубнички»

PIF_IBLIS.A — интернет-червь, распространяющийся по IRC-каналам (Internet Relay Chat) с помощью клиента mIRC, установленного на зараженной машине. Червь маскируется под текстовый файл, содержащий пароль для доступа на порнографический сайт.

Червь прибывает на компьютер в виде PIF-файла или ярлыка (shortcut) к программам MS-DOS или Windows. Если на зараженном компьютере стоит установка в системе скрывать расширения файлов, то вирус выглядит как текстовый файл, содержащий пароль доступа на некий порно-сайт.

После выполнения червь «скидывает» свою копию в корневую директорию Windows под именем WINSTART.BAT. Затем при рестарте системы этот файл также выполняется и в свою очередь записывает еще одну копию червя в виде файла C0MMAND.COM в корень C:. Имя этого файла отличается от оригинального C:COMMAND.COM тем, что в нем вместо букв «О» записаны нули «0».

Файл WINSTART.BAT запускаясь выполняет внедренный в него код червя, который берет контроль над mIRC. Червь перехватывает некоторые функции mIRC, такие как набивание текста и отсылка в чат файлов следующих типов: .EXE, .COM, .BAT, .INI, .VBS, .ZIP, .JPG, .TXT, .HTML. Используя эти функции червь обманным путем отсылает свои сообщения, содержащие копии вируса в виде присоединенного файла с именем X_PASS.TXT.PIF всем, с кем общается пользователь зараженной машины по IRC-каналу. Сообщение червя имеет следующее содержание:

Please if you want my Special IBLIS SEX Pass List J TYPE !SEXPASS.»

Вирусный код содержит в себе следующие строки-комментарии:

IBLIS WORM _designed by DelArmg0 on 30/01/2000

__GreetZ to U IBLIS !

My Dear KaT J An Alive P03m…

IBLIS.A ловит в свои сети любителей «клубнички»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике