Архив

Init не даст вам соскучиться

W97M/Init (другие возможные имена: VBS/Init или IRC/Init) — полиморфик макро-вирус для MS Word 97, содержащий Windows Scripting Host компонент. Заражает область глобальных макросов (шаблон Normal.dot) для дальнейшего инфицирования всех документов Word при их открытиии или создании новых. Инфицированный документ содержит модуль с именем «Init». Вирус может при опеделенных условиях распространять свои копии по каналам mIRC.

При открытии зараженного документа вирус записывает на жесткий диск два файла:

C:WINDOWSSYSTEMINIT.VBS
C:WINDOWSINIT.DRV

Вирус добавляет в конец C:AUTOEXEC.BAT следующие строки:

ECHO OFF
CLS
ECHO ЦДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД╥
ECHO ╨ ***************************************** ╨
ECHO ╨ * FЦV DJ * ╨
ECHO ╨ ***************************************** ╨
ECHO ╨ FЦV DJ wishes to thank the user ╨

ECHO ╨ of this computer because you have ╨
ECHO ╨ helped to spread the good words of peace! ╨
ECHO ╨ ## FЦV DJ ## ╨
ECHO УДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД╫
CLS

В системный реестр вирус записывает следующие ключи:

HKLMSoftwareMcAfeeScan95 DAT=Just for FUN by FЦV
HKLMSoftwareMcAfeeScan95 DATFile=No need Anti Virus
HKLMSoftwareMcAfeevirusscan DAT=Don’t Underestimate Me
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
init=C:WindowsSysteminit.vbs

Вирус также предпринимает попытки удалить следующие антивирусные программы:

«C:Program FilesAntiViral Toolkit Pro*.*»
«C:Program FilesCommand SoftwareF-PROT95*.*»
«C:Program FilesFindVirus*.*»
«C:ToolkitFindVirus*.*»
«C:Program FilesQuick Heal*.*»
«C:Program FilesMcAfeeVirusScan*.*»
«C:Program FilesNorton AntiVirus*.*»
«C:TBAVW95*.*»
«C:VS95*.*»

Ежеминутно, когда секунды превышают значение 50, вирус записывает свою копию в файл C:MIRCDOWNLOADIRC-Rules.doc и модифицирует C:MIRCSCRIPT.INI для отправки этого файла по каналам mIRC.

В январе, феврале, марте, апреле, мае, июне или декабре вирус удаляет контент открытых документов.

Симптомы заражения

Периодически, случайным образом вирус выводит сообщение:

«SkRiPsI is SuCK»

5 ноября вирус выдает следующее сообщение:

«Happynes to all of you»

При выборе в меню Help|About вирус сообщает:

«Peace Words

Welcome to my world
Please enjoy your time
BEFORE YOUR DIE»

Если выбрать меню TOOLS|MACRO вирус показывает сообщение:

«This message is displayed

Macro Function is not active

Never use IT»

Нажатие OK приводит к тому, что CD-ROM (если в нем отсутствует CD) начинает открываться и закрываться. И так 15 раз, затем вирус интересуется, приятно ли вы провели время:

«Did you enjoy your time?
Don’t do it again OK!»

При выборе на инфицированном компьютере TOOLS|OPTIONS вирус отключает в Word защиту от макро-вирусов.

При выборе File|Exit имя зарегистрированного пользователя заменяется на «FЦV» и появляется сообщение:

«Please Turn-off your computer

Don’t Click bellow»

Нажатие OK приводит к удалению следующих файлов:

«C:windowscommand*.*
«C:*.*»
«C:progra~1*.*»

Затем появляется сообщение:

«You aren’t obey my order

May the God Bless You»

Init не даст вам соскучиться

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике