Меню контента Закрыть

Архив

Семейка Lee поселилась в Интернет

Архив

мин. на чтение

Авторы

Лаборатория Касперского сообщает о целом семействе вирусов-червей, появившихся в интернет.

I-Worm.Lee (или другое имя этих же червей VBS.Pica) — семейство интернет-червей, использующих различные методы для рапространения. Есть два «базовых» варианта червя («Lee.a» and «Lee.b»). Первый из них распространяется через каналы IRC, второй использует MS Outlook для отправки
зараженных писем. Остальные варианты в этом семействе — это модификации и/или комбинации первых двух. Все черви написаны на языке Visual Basic Script (VBS).

I-Worm.Lee.a — простой червь распространяющийся по каналам IRC. Когда код червя запущен (пользователь щелкнул на зараженный файл), червь копирует себя в системный каталог Windows в файл с именем «McAffe.vbs». Затем червь находит каталог, в котором установлен mIRC-клиент (клиент для работы с IRC сетями), и создает в нем файл «SCRIPT.INI». В этот файл червь записывает команды mIRC клиента, которые отсылают файл червя на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер.

После создания файла «SCRIPT.INI» червь записывает в системный реестр пометку. В следующий раз червь не будет создавать файл «SCRIPT.INI» если эта пометка присутствует в реестре.

Этот червь не содержит каких-либо проявлений.

Червь I-Worm.Lee.b распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Вирус попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

Подробное описание I-Worm.Lee (aka VBS.Pica) см. здесь

Авторы

Семейка Lee поселилась в Интернет

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

    «Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике