Архив

NOPED: VBS-червь ловит любителей детской порнографии

NOPED — интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook. Попадает на компьютер в присоединенном файле с именем «END ILLEGAL child porn NOW.TXT…………vbe». Не содержит деструктивных проявлений.

При активизации (если пользователь открывает вложение) червь модифицирует свойства письма и рассылает свои копии в следующих сообщениях:

Тема: FWD: Help us ALL to END ILLEGAL child porn NOW
Тело: Hi, just a quick e-mail. Please read the attached
document as soon as you can. Thanks.
Вложение: END ILLEGAL child porn NOW.TXT…………vbe

Затем червь модифицирует системный реестр с целью изменить стартовую страницу в Internet Explorer:

HKCUSoftwareMicrosoftInternet ExplorerMain
Start Page
«http://www.geocities.com/antipedo2001»

HKCUSoftwareMicrosoftInternet ExplorerMain
Window Title
«|.,.-*^*-.,. FUAHACKEDU@888.NU /.,.-*^*-.,.|»

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
RunFua «wscript.exe (infected file) %»

HKCUSoftwareMicrosoftWindowsCurrentVersion
RunOnce1 (infected file), «REG_SZ»

HKCUSoftwareMicrosoftWindowsCurrentVersion
RunOnce2(infected file), «REG_SZ»

Если значение следующего ключа системного реестра не равно нулю, то червь запускает процедуру массовой рассылки своих копий:

HKCUSoftwarePolyDATE1

Если значение следующего ключа системного реестра меньше 6-ти, червь вычитает это значение из числа вхождений в инфицированной адресной книге:

HKCUSoftwareMicrosoftWABPOLY

Чиcло рассылаемых сообщений червя определяется результатом предыдущего вычитания. В противном случае (если значение ключа >=6) число писем червя выбирается случайным образом. Червь отвечает также на все письма, не содержащиеся в папках: «Sent Items,» «Outbox,» или «Drafts», присоединяя к письмам свою копию, например:

Тело сообщения: This is important, please read the attached file. Thanks.

Если на зараженном компьютере установлена версия Windows Scripting Host выше, чем 5, то червь задерживает процесс рассылки на некоторое время. В противном случае он модифицирует другой набор ключей системного реестра и затем записывает текстовый файл во временную директорию, после чего открывает этот файл, используя для этого C:WINDOWSNotepad.exe. После выполнения своей программы червь удаляет текстовый файл. Затем предпринимает попытки отправить новый набор сообщений по адресам, случайно выбранным из адресной книги Microsoft Outlook. Эти сообщения имеют следующие характеристики:

Тема: RE: Child Pornography
Тело:

Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience.

NOPED: VBS-червь ловит любителей детской порнографии

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике