Архив

Интернет-червь SATANIK больше болтает, чем делает

В «диком виде» обнаружен интернет-червь HTML_SATANIK.A, распространяющийся в письмах электронной почты. Написан на языке Visual Basic. Для своего распространения червь использует MS Outlook. Червь приходит на компьютер в виде письма электронной почты в формате HTML. Помимо зараженного HTML, письма содержат прикрепленные файлы, Т.е. для заражения компьютера достаточно просто открыть инфицированное сообщение.

Вирус записывает свои копии в корневой и системный каталоги Windows, а также вносит изменения в системный реестр, чтобы обеспечить свое выполнение при последующих стартах системы. Червь не содержит в себе деструктивного кода, а только пугает пользователя инфицированной машины сообщениями о новом разрушительном интернет-черве.

После выполнения червь для отвлечения внимания пользователя показывает на экране компьютера сообщение о новом грозном интернет-черве, а это время занимается тем, что записывает свои копии в корневой и системный каталоги Windows в виде следующих файлов:

%WinDir%WINDOWS.VBS
%WinDir%SCRIPT.VBS
%WinDir%NATAS.VBS
%SysDirVBSCRIPT.VBS
%SysDirDEMONIK.VBS
%SysDir%SATANIK_CHILD.VBS

А также создает следующие ключи системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunVBSCRIPT=%SysDir%VBSCRIPT.VBS

HKEY_LOCAL_MACHINESSoftwareMicrosoftWindows
CurrentVersionRunDemonik%WinDir%DEMONIK.GOD

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
anti-windows=%WinDir%DEMONIK.GOD

Помимо этого червь создает в в корневом каталоге Windows собственную директорию, содержащую файл FROM_SATANIK_CHILD.TXT, названия поддиректорий которой выглядят в основном, как ругательства:

%WinDir%DemonikSATANIK CHILDHas Fucked Up Your
ComputerDont Be SurprisedSATANIK CHILD Is An Evil Mother

FuckerBecause He AlsoInstalled A DEMONIC
WORMThe Funny
Thing ThoughAntiVirus Companies Do Not Recognize It Yet

После этого червь, используя MS Outlook, начинает рассылать зараженные HTML-сообщения, в которые внедрен его код, по всем адресам, содержащимся в адресной книге инфицированного компьютера. Сообщения червя имеют следующие характеристики:

Тема: Demonik_Worm_VBS
Тело сообщения: Some people may find this offensive
but I HAD to know what you think.
Вложение: Info_ON_New_WORM.vbs

или

Тема: WARNING: A NEW DESTRUCTIVE WORM HAS BEEN DISCOVERED»
Тело сообщения: This worm might not even be detected yet. DEMONIC_WORM»
Вложение: Evil_VBS.vbs

Если в дисководе «A» зараженной машины находится диск, то червь сбрасывает на него свой файл под названием NATAS.VBS, а также записывает еще один файл — DEMONNIK.BAT в StartUp-каталог Windows и «I-n-f-o O-n N-e-w D-a-n-g-e-r-o-u-s W-o-r-m.Ink» на Рабочий Стол (Desktop). При перезагрузке системы DEMONNIK.BAT удалит следующие антивирусные файлы:

C:MCAFEE*.DAT
C:PROGRA~1MCAFEE*.DAT
C:PROGRA~1ANTIVI`1*.AVC
C:PROGRA~1NORTON*.*

Интернет-червь SATANIK больше болтает, чем делает

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике