Архив

San — подарочек ко дню св. Валентина

VBS/San@M — интернет-червь испанского происхождения, 11 февраля был заслан в конференцию Usenet. Распространяется в письмах электронной почты без присоединенных к письму файлов. Код червя представляет из себя VBS-скрипт, который внедрен в HTML, что позволяет червю активизироваться в момент, когда пользователь открывает зараженное письмо. VBS-скрипт частично зашифрован с помощью Vbscript.Encode.

Для своей работы червь использует известную брешь в защите Internet Explorer 5.0, называемую «Scriptlet.Typelib security vulnerability», которая дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл, который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и как следствие запускается при следующем старте Windows.

Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл «loveday14-a.hta» в каталоге «C:WINDOWSSTART MENUPROGRAMSSTARTUP». Такой же файл червь пытается создать и в каталоге «C:WINDOWSMENU INICIOPROGRAMASINICIO» (имя каталога автозагрузки для испанской версии Windows).

Этот hta-файл содержит основной код червя и при следующем старте Windows будет исполнен, так как он находится в каталоге автозагрузки.

Червь создает файл «index.html» и делает его подписью пользователя инфицированного компьютера в Outlook Express. В результате письма, отправляемые с зараженной машины будут содержать внедренный вирусный код.

Червь устанавливает стартовую страницу Internet Explorer на некий испанский сайт, содержащий другой вирус под названием VBS/Valentin@MM.

8, 14, 23 и 29 числа каждого месяца червь предпринимает попытки уничтожить на зараженном компьютере содержимое каталогов корневого уровня на диске С: и затем переименовывает все поддиректории, добавляя к оригинальному названию «happysanvalentin». Например: «C:WindowsDesktop» станет «C:WindowsDesktophappysanvalentin».

Код червя содержит следующие комментарии:

«loveday14 by Onel2 Melilla»
«Espaсa ‘feliz san valentin davinia»

San — подарочек ко дню св. Валентина

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике