Архив

San — подарочек ко дню св. Валентина

VBS/San@M — интернет-червь испанского происхождения, 11 февраля был заслан в конференцию Usenet. Распространяется в письмах электронной почты без присоединенных к письму файлов. Код червя представляет из себя VBS-скрипт, который внедрен в HTML, что позволяет червю активизироваться в момент, когда пользователь открывает зараженное письмо. VBS-скрипт частично зашифрован с помощью Vbscript.Encode.

Для своей работы червь использует известную брешь в защите Internet Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability», которая дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл, который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и как следствие запускается при следующем старте Windows.

Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл «loveday14-a.hta» в каталоге «C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (имя каталога автозагрузки для испанской версии Windows).

Этот hta-файл содержит основной код червя и при следующем старте Windows будет исполнен, так как он находится в каталоге автозагрузки.

Червь создает файл «index.html» и делает его подписью пользователя инфицированного компьютера в Outlook Express. В результате письма, отправляемые с зараженной машины будут содержать внедренный вирусный код.

Червь устанавливает стартовую страницу Internet Explorer на некий испанский сайт, содержащий другой вирус под названием VBS/Valentin@MM.

8, 14, 23 и 29 числа каждого месяца червь предпринимает попытки уничтожить на зараженном компьютере содержимое каталогов корневого уровня на диске С: и затем переименовывает все поддиректории, добавляя к оригинальному названию «happysanvalentin». Например: «C:WindowsDesktop» станет «C:WindowsDesktophappysanvalentin».

Код червя содержит следующие комментарии:

«loveday14 by Onel2 Melilla»
«Espaсa ‘feliz san valentin davinia»

San — подарочек ко дню св. Валентина

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике