Меню контента Закрыть

Архив

San — подарочек ко дню св. Валентина

Архив

мин. на чтение

Авторы

VBS/San@M — интернет-червь испанского происхождения, 11 февраля был заслан в конференцию Usenet. Распространяется в письмах электронной почты без присоединенных к письму файлов. Код червя представляет из себя VBS-скрипт, который внедрен в HTML, что позволяет червю активизироваться в момент, когда пользователь открывает зараженное письмо. VBS-скрипт частично зашифрован с помощью Vbscript.Encode.

Для своей работы червь использует известную брешь в защите Internet Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability», которая дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл, который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и как следствие запускается при следующем старте Windows.

Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл «loveday14-a.hta» в каталоге «C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (имя каталога автозагрузки для испанской версии Windows).

Этот hta-файл содержит основной код червя и при следующем старте Windows будет исполнен, так как он находится в каталоге автозагрузки.

Червь создает файл «index.html» и делает его подписью пользователя инфицированного компьютера в Outlook Express. В результате письма, отправляемые с зараженной машины будут содержать внедренный вирусный код.

Червь устанавливает стартовую страницу Internet Explorer на некий испанский сайт, содержащий другой вирус под названием VBS/Valentin@MM.

8, 14, 23 и 29 числа каждого месяца червь предпринимает попытки уничтожить на зараженном компьютере содержимое каталогов корневого уровня на диске С: и затем переименовывает все поддиректории, добавляя к оригинальному названию «happysanvalentin». Например: «C:WindowsDesktop» станет «C:WindowsDesktophappysanvalentin».

Код червя содержит следующие комментарии:

«loveday14 by Onel2 Melilla»
«Espaсa ‘feliz san valentin davinia»

Авторы

San — подарочек ко дню св. Валентина

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

    «Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике