Меню контента Закрыть

Архив

Интернет-червь Welyah использует дыру в Outlook

Архив

мин. на чтение

Авторы

Вирус-червь Welyah распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь отсылает файлы с компьютера пользователя и производит разрушительные действия. Был обнаружен в декабре 2001 года.

Червь является приложением Windows (PE EXE-файл), имеет размер около 108K, написан на Visual Basic 6.


Заражение системы

При запуске зараженного файла (если пользователь откроет вложение или если червю удается воспользоваться брешью защиты IFRAME) червь активизируется, устанавливает себя в систему и регистрируется в системном реестре.

Для это червь копирует себя в каталог Windows и Windows System под именем WINL0G0N.EXE и регистрирует этот файл в ключе автозапуска системного реестра:


HKCUSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE


Рассылка писем

Для отсылки писем червь использует соединение с SMTP-сервером. Адрес SMTP сервера червь считывает из системного реестра или использует предопределенный адрес с сервером:
210.177.111.18

Электронные адреса, по которым рассылаются письма, червь ищет внутри файлов на диске:


«*.eml»,»*.wab»,»*.dbx»,»*.mbx»,»*.xls»,»*.xlt»,»*.mdb»

Червь отсылает письма в формате HTML. При этом в письмах используется брешь в защите Internet Explorer (IFRAME). В результате червь может автоматически активизироваться на незащищенных машинах.

Зараженные письма содержат:

Заголовок: Welcome to Yahoo! Mail
Текст: Welcome to Yahoo! Mail
Имя вложения: readme.txt

Червь хранит список адресов для отсылки писем в текущем каталоге в файле emailinfo.txt. Свой дроппер перед отсылкой червь записывает в файл email.txt


Отсылка файлов с компьютера пользователя

Червь ищет в подкаталогах локальных дисков файлы:


«tree.dat»,»smdata.dat»,»hosts.dat»,»sm.dat»

и отсылает их на ftp сервер «ftphd.pchome.com.tw» для пользователей из списка:


shit0918, shit530, shiu58, shoho2, shoo2206

Разрушительные действия

Червь удаляет все файлы в текущем каталоге. После старта из каталога Windows он удаляет системные файлы Windows.

Авторы

Интернет-червь Welyah использует дыру в Outlook

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    Техники, тактики и процедуры атак на промышленные компании

    В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

    Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

    В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

    Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

    В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2023.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике