Архив

Интернет-червь Welyah использует дыру в Outlook

Вирус-червь Welyah распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь отсылает файлы с компьютера пользователя и производит разрушительные действия. Был обнаружен в декабре 2001 года.

Червь является приложением Windows (PE EXE-файл), имеет размер около 108K, написан на Visual Basic 6.


Заражение системы

При запуске зараженного файла (если пользователь откроет вложение или если червю удается воспользоваться брешью защиты IFRAME) червь активизируется, устанавливает себя в систему и регистрируется в системном реестре.

Для это червь копирует себя в каталог Windows и Windows System под именем WINL0G0N.EXE и регистрирует этот файл в ключе автозапуска системного реестра:


HKCUSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE


Рассылка писем

Для отсылки писем червь использует соединение с SMTP-сервером. Адрес SMTP сервера червь считывает из системного реестра или использует предопределенный адрес с сервером:
210.177.111.18

Электронные адреса, по которым рассылаются письма, червь ищет внутри файлов на диске:


«*.eml»,»*.wab»,»*.dbx»,»*.mbx»,»*.xls»,»*.xlt»,»*.mdb»

Червь отсылает письма в формате HTML. При этом в письмах используется брешь в защите Internet Explorer (IFRAME). В результате червь может автоматически активизироваться на незащищенных машинах.

Зараженные письма содержат:

Заголовок: Welcome to Yahoo! Mail
Текст: Welcome to Yahoo! Mail
Имя вложения: readme.txt

Червь хранит список адресов для отсылки писем в текущем каталоге в файле emailinfo.txt. Свой дроппер перед отсылкой червь записывает в файл email.txt


Отсылка файлов с компьютера пользователя

Червь ищет в подкаталогах локальных дисков файлы:


«tree.dat»,»smdata.dat»,»hosts.dat»,»sm.dat»

и отсылает их на ftp сервер «ftphd.pchome.com.tw» для пользователей из списка:


shit0918, shit530, shiu58, shoho2, shoo2206

Разрушительные действия

Червь удаляет все файлы в текущем каталоге. После старта из каталога Windows он удаляет системные файлы Windows.

Интернет-червь Welyah использует дыру в Outlook

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике