Архив

Семейка Lee поселилась в Интернет

Лаборатория Касперского сообщает о целом семействе вирусов-червей, появившихся в интернет.

I-Worm.Lee (или другое имя этих же червей VBS.Pica) — семейство интернет-червей, использующих различные методы для рапространения. Есть два «базовых» варианта червя («Lee.a» and «Lee.b»). Первый из них распространяется через каналы IRC, второй использует MS Outlook для отправки
зараженных писем. Остальные варианты в этом семействе — это модификации и/или комбинации первых двух. Все черви написаны на языке Visual Basic Script (VBS).

I-Worm.Lee.a — простой червь распространяющийся по каналам IRC. Когда код червя запущен (пользователь щелкнул на зараженный файл), червь копирует себя в системный каталог Windows в файл с именем «McAffe.vbs». Затем червь находит каталог, в котором установлен mIRC-клиент (клиент для работы с IRC сетями), и создает в нем файл «SCRIPT.INI». В этот файл червь записывает команды mIRC клиента, которые отсылают файл червя на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер.

После создания файла «SCRIPT.INI» червь записывает в системный реестр пометку. В следующий раз червь не будет создавать файл «SCRIPT.INI» если эта пометка присутствует в реестре.

Этот червь не содержит каких-либо проявлений.

Червь I-Worm.Lee.b распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Вирус попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

Подробное описание I-Worm.Lee (aka VBS.Pica) см. здесь

Семейка Lee поселилась в Интернет

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике