Архив

Sorry.a: новый интернет-червь появился в «диком виде»

VBS/Sorry.a (aka VBS/Mcon-B) — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся по компьютерным сетям и чат-каналам. Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).

При активизации червь копирует себя в «%WinDir%fontsttfload.vbs», и делает следующие изменения в системном реестре:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Runttfload=wscript.exe C:WINDOWSfontsttfload.vbs

HKCUSoftwareMicrosoftWindows Scripting Host
SettingsTimeout=0

Затем червь ищет в стартовом каталоге Windows файлы с именами «ttfload.vbs» и «sndload.vbs». Если не находит, то удаляет свой .VBS-файл, который был выполнен, и выдает сообщение об ошибке:

FILE I/O ERROR

Червь также записывает свои копии во все найденные им в директории «%WinDir%» каталоги:

  • «download»
  • «downloads»
  • «ftproot»
  • «mirc»
  • «pub»
  • «wwroot»
  • Каталоги, содержащие слово «my»
  • Каталоги, содержащие слово «share»
  • Каталоги, содержащие слово «upload»
  • Каталоги, содержащие слово «game»
  • Каталоги, содержащие слово «warez»

Помимо этого червь удаляет на зараженной машине каталоги с именами «chode», «foreskin», and «d#ckhair» и предпринимает попытки переслать в IRC-каналы с помощью клиента mIRC измененный файл SCRIPT.INI.

Червь удаляет следующие файлы (обычно ассоциирующиеся с другими известными вирусами):

«network.vbs»

«mscfg.vbs»
«winsock.vbs»
«a24.vbs»
«samples.vbs»
«mscfg.exe»
«ashield.pif»
«netstat.pif»

Червь занимается также тем, что «пингует» случайные IP-адреса на следующих подсетях:

24.*.*.*
172.128.*.*
152.163-175.*.*
205.163.*.*
4.30-45.*.*
151.196-206.*.*
63.194-207.*.*
216.76-79.*.*
3-243.*.*

Если «пингуемые» адреса отвечают, то червь ищет «зашаренные» (открытые для совместного доступа) каталоги на этих машинах, подключается, если возможно, к диску, пытается скопировать файл «sndload.vbs» в стартовый каталог Windows и затем отсоединяет подключенный диск.

С небольшим шансом (1 из 1000) червь может изменить стартовую страницу в Internet Explorer на «http://www.zonelabs.com/», модифицируя для этого ключ системного реестра:

HKLMSoftwareMicrosoftInternet ExplorerMain

Sorry.a: новый интернет-червь появился в «диком виде»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике