STAPLE.A: в «диком виде» появился новый интернет-червь

20 Мар 2001

мин. на чтение

Авторы

GReAT

VBS_STAPLE.A (aka VBS_INJUSTICE.A) — новый интернет-червь, написанный на языке Visual Basic Script. Для своего распространения использует Microsoft Outlook и рассылает свои копии с зараженного компьютера по первым 50-ти адресам, найденным в адресной книге Outlook.

После выполнения вирусного скрипта в системный каталог Windows на инфицированный компьютер записывается копия червя
с именем injustice.TXT.vbs. Затем червь выводит на дисплей message box с заголовком «HELP US TO STOP THE BLOOD SHED!!» и текстом:

PLEASE ACCEPT MY APOLOGIES FOR DISTURBING YOU.

Remember that one day YOU may be in this situation. We need
every possible help. Israeli soldiers killed in cold blood 12 year old Palestinian child Mohammad Al-Durra, as his father tried to protect him in vain with his own body. As a result of the indiscriminate and excessive use of machine gun fire by Israeli soldiers, journalists and bystanders watched helplessly as the child was savagely murdered. Palestinian Red Crescent Society medic Bassam Balbeisi attempted to intervene and spare the child’s life but live ammunition to his chest by Israeli fire took his life in the process. The child and the medic were grotesquely murdered in cold blood. Mohammad’s father, Jamal, was critically injured and permanently paralyzed. Similarly, approximately 40 children were slain, without the media taking notice or covering these tragedies.

THESE CRIMINAL ACTS CANNOT BE FORGIVEN OR FORGOTTEN!!!!
HELP US TO STOP THE BLOOD SHED!!

После этого червь производит рассылку своих копий в виде вложений в сообщения электронной почты по первым 50-ти адресам из адресной книги Microsoft Outlook с зараженного компьютера.

Характеристики сообщения червя:

Тема: «RE:Injustice»
Тело: Dear [имя получателя],
Did you send the attached message, I was not expecting this from you !
Имя вложения: injustice.TXT.vbs

Затем червь меняет значение ключа системного реестра, чтобы его сообщения рассылались получателям лишь однажды:

«HKEY_CURRENT_USERSoftwareMicrosoft
WAB»&malead,1,»REG_DWORD»

Червь также посылает вышеупомянутые сообщения с вложенной копией себя по следующим адресам:

sar@mod.gov.il
sar@mops.gov.il
sar@moin.gov.il
yor@knesset.gov.il
webmaster@israel.com
amuta@ehudbarak.co.il
foundation@habonimdror.org,
wlzm@jazo.org.il
office@JAFI.org.il
naamatusa@naamat.org

info@azm.org
arie@kba.org
ncli@laborisrael.org
holyland@inisrael.com
sar@mof.gov.il
hachnasot@mof.gov.il
doar@mof.gov.il
mafkal@police.gov.il
yor@knesset.gov.il
rmarkus@parliament.gov.il
doar@shaam.gov.il
sar@mops.gov.il
hashkal@mof.gov.il
pniotmas@mof.gov.il
menahel@shaam.gov.il

Затем, используя Internet Explorer, червь пытается открыть следующие сайты:

http://www.sabra-shatila.org/
http://www.petitiononline.com/palpet/petition.html
http://www.palestine-info.org
http://freesaj.org.uk/
http://hanthala.virtualave.net/
http://www.ummah.net/unity/palestine/index.htm

В теле червя содержатся следующие комментарии:

перед процедурой рассылки сообщений:

‘ Only to 50 entries — not to disturb network and mail servers —

а также в конце вирусного кода:

‘Note:
‘Do not worry. This is a harmless virus. It will not do any thing to your system.
‘The intension is to help Palestinian people to live in
PEASE in their own land.
‘S/N : 881844577469

Авторы

GReAT

STAPLE.A: в «диком виде» появился новый интернет-червь

Последние публикации

Отчеты

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

STAPLE.A: в «диком виде» появился новый интернет-червь

История с бэкдором в XZ — первоначальный анализ

Зловреды для Android на любой вкус

Кампания FakeSG, шифровальщик Akira и AMOS — стилер для macOS

Прогнозы по продвинутым угрозам на 2024 год

Атаки обновленного зловреда MATA на промышленные компании в Восточной Европе

Антивирусные обои на 2012 год

Антивирусные обои: декабрь 2011

Антивирусные обои: октябрь 2011

Антивирусные обои для рабочего стола на сентябрь 2011 года

Антивирусные обои для рабочего стола за август 2011

Последние публикации

История с бэкдором в XZ — первоначальный анализ

SoumniBot: уникальные техники нового банкера для Android

Билдер LockBit и целевые шифровальщики

Зловреды для Android на любой вкус

Отчеты

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Азиатские APT-группировки: тактики, техники и процедуры

Как поймать «Триангуляцию»

Подпишитесь на еженедельную рассылку