Архив

Offensive — зловредный троянец прячется в HTML-файле

JS_OFFENSIVE.A (aka FLUG, JS@Juck) — троянская программа, внедренная в HTML-файл, написана на JavaScript. Использует ошибку в ActiveX control, что позволяет выполнять злонамеренные скрипты на пользовательской машине (см. «Microsoft virtual machine vulnerability»).

При открытии инфицированного HTML-файла троянец создает на компьютере пользователя ActiveX-объект, который запускает на выполнение зловредный скрипт, который модифицирует определенные ключи системного реестра, в результате чего ограничивает пользовательский доступ к компьютеру. Некоторые ограничения, сделанные троянцем:

  • отключает/удаляет меню Run
  • делает невозможными изменения в меню Start
  • отключает автозапуск CD-ROM
  • удаляет Favorites из меню Start
  • удаляет меню File из Explorer
  • отключает меню Find
  • удаляет меню Folder->Options
  • удаляет иконку Internet Explorer с Рабочего Стола и из Windows Explorer
  • отключает документы из меню Documents
  • отключает/удаляет меню LogOff
  • отключает Active Desktop
  • отключает вызов Taskbar по правой кнопке мыши
  • удаляет Windows Update из меню Start
  • отключает desktop (правый клик мыши перестает работать)
  • удаляет сетевое окружение
  • отключает любые утилиты для редактирования системного реестра, например REGEDIT
  • удаляет «закладки» в окнах Display Settings и System Properties

Скрипт также изменяет следующие установки в Internet Explorer:

  • изменяет в главном заголовке «Microsoft Internet Explorer» на «If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig»
  • изменяет кнопку «Related To» в Internet Explorer на «FUCK Japanese» и помещает ее на Toolbar (по умолчанию она имеет атрибут hidden)

В окне Windows Logon троянец меняет заголовок и текст на следующий: «If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig»

Троянец добавляет следующее вхождение в меню по правому клику мышки на диске: «how to fuck japan».

Также изменяет свойства файлов со следующими расширениями, тем самым не позволяя им работать должным образом: EXE, REG, HTM, HTML, TXT, INF, INI, DLL, SYS, COM, BAT.

Изменяет ключи в секции автозапуска системного реестра, чтобы после каждого старта Windows деинсталлировались следующие программы:

  • INTERNAT.EXE
  • SCANREG.EXE
  • TASKMON.EXE
  • SYSTRAY.EXE
  • POWPROF.DLL

Троянец также изменяет два ключа в реестре (LoadPowerProfile и SchedulingAgent), в результате чего Windows выводит сообщения: «fuck japanese» и «fuck japanese government».

Offensive — зловредный троянец прячется в HTML-файле

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике