Инциденты

«LoveLetter»: сериал продолжается

И вновь в «диком виде» появилась очередная версия интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000, под названием — «VBS/LoveLet-CL». При своем распространении червь, как и его оригинальный вариант, использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема: !!!
Тело: :-) MuCuX...
Присоединенный файл: echelon.vbs

При активизации на зараженной машине этот червь создает две своих копии с именами command.vbs и WinVXD.vbs. Эти файлы будут выполняться каждый раз при загрузке системы.

Червь также ищет на всех доступных локальных и сетевых дисках файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT или HTA и затем перезаписывает их своим кодом, изменяя при этом их расширения на «.VBS».

Червь ищет также все музыкальные файлы MP2 или MP3 и также перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Если червь находит, что на машине установлен mIRC (Internet Relay Chat), то он создает в том же каталоге управляющий скрипт-файл mIRC — SCRIPT.INI. Этот файл содержит mIRC-команды, которые посылают «дроппер» червя всем пользователям, подключающимся к зараженному каналу.

В своем коде червь содержит огромное число комментариев, с помощью которых автор, возможно, хотел «подвесить» систему глобальной слежки за электронной почтой «Echelon» :

Written By Extirpater and beyin. (i am NOT from iraq, and not protecting iraq/islamic anyway) Stop Violence Pentagon. Why are you testing your new weapons on iraq? You are trying to protect children from porn but you are also killing them and other innocent people in iraq... ...and another thing... why are you using echelon type stupid things to listen around...?< Hey others, lets fl00d the echelon... .gov @ NSA national security agency code PGP GPG satellite cia yemen toxin botulinum mi5 mi6 mit kgb .mil mil base64 us defence intelligence agency admiral diplomat alert! begin pgp message cert HQ password secret information Shamil Basaev BATF Tactical information broadcasting service netsec DEA Ayman Al Zawahiri RADINT ETA Fort Meade explosive gun conspiracy primer detonator initiator unicos al amn al-askari cray arpanet node backdoor mi-6 mi-5 terrorism SSCI sairi islamic revolution assembly not for public private korea diplomat wiretap Usame bin Laden DF ZARK SERT VIP ARC S.E.T set ssl hezbollah hizbullah afiwc compusec M51 phsical security division MOSSAD DDos denial of sevice don't try to contact me astel DH breaking machine Xu Yongyue agent agents national infrastructure air command control facility nm info Lieutenant tactical defcon mortars rpg7 propellants defensive evasion boobytraps secure internet rsa uzi buy hrt hk33ke aks-74 galil arm detcord pmk40 silencers timing devices information security naval yard sao reno jics computer terrorism NAIA SAPM ASU ECHELON ASTS RSP ISS JDF NAAP RSO encryption ASWS USDOJ SAMU COSMOS DATTA e99ll bill clinton george bush nash asis seal team 3 MSEE M.P.R.I top secret mossberg sursat 5926 telint fraud analyzer b61-7 sbu err SO13 reojdykarna airframe 510 EuroFed Avi shelter Cryto AG IDP RHL MP5K-SD sniper gign exon shell masuda eada shs NSWF sabotage nitrate Counter terrorism RCMP CTU CQB CONUS BOP CID thief NCSA ISACA ASVC spook words flashbangs magnum resta 777 666 MD2 MD4 MDA 747 boing domestic disruption smuggle Z-200 Security Consulting Keyhole NABS Kilderkin covert video pathfinders oscor merlin ntt sl-1 sr-71 sr71 f117 f-117 cornflower TNT rdx amfo hmtd lead azide styphante ddnp nitrostarch mines grenades rockets fuses nitrocellulose c4 ambush sniping spoof sniff sniffing sniffer motorcade assassination jtf-6 psyops privacy

«LoveLetter»: сериал продолжается

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике