Архив

Интернет-червь Welyah использует дыру в Outlook

Вирус-червь Welyah распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь отсылает файлы с компьютера пользователя и производит разрушительные действия. Был обнаружен в декабре 2001 года.

Червь является приложением Windows (PE EXE-файл), имеет размер около 108K, написан на Visual Basic 6.


Заражение системы

При запуске зараженного файла (если пользователь откроет вложение или если червю удается воспользоваться брешью защиты IFRAME) червь активизируется, устанавливает себя в систему и регистрируется в системном реестре.

Для это червь копирует себя в каталог Windows и Windows System под именем WINL0G0N.EXE и регистрирует этот файл в ключе автозапуска системного реестра:


HKCUSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE


Рассылка писем

Для отсылки писем червь использует соединение с SMTP-сервером. Адрес SMTP сервера червь считывает из системного реестра или использует предопределенный адрес с сервером:
210.177.111.18

Электронные адреса, по которым рассылаются письма, червь ищет внутри файлов на диске:


«*.eml»,»*.wab»,»*.dbx»,»*.mbx»,»*.xls»,»*.xlt»,»*.mdb»

Червь отсылает письма в формате HTML. При этом в письмах используется брешь в защите Internet Explorer (IFRAME). В результате червь может автоматически активизироваться на незащищенных машинах.

Зараженные письма содержат:

Заголовок: Welcome to Yahoo! Mail
Текст: Welcome to Yahoo! Mail
Имя вложения: readme.txt

Червь хранит список адресов для отсылки писем в текущем каталоге в файле emailinfo.txt. Свой дроппер перед отсылкой червь записывает в файл email.txt


Отсылка файлов с компьютера пользователя

Червь ищет в подкаталогах локальных дисков файлы:


«tree.dat»,»smdata.dat»,»hosts.dat»,»sm.dat»

и отсылает их на ftp сервер «ftphd.pchome.com.tw» для пользователей из списка:


shit0918, shit530, shiu58, shoho2, shoo2206

Разрушительные действия

Червь удаляет все файлы в текущем каталоге. После старта из каталога Windows он удаляет системные файлы Windows.

Интернет-червь Welyah использует дыру в Outlook

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике