Архив

Valentin: мастер на все руки

VBS/Valentin@MM — интернет-червь, по всей видимости созданный тем же автором, что и червь VBS/San@M.

VBS/Valentin распространяется по интернету в письмах электронной почты, которые не имеют прикрепленных файлов.
Код червя представляет из себя VBS-скрипт, внедренный в HTML. Заражение компьютера происходит при открытии пользователем инфицированного письма.

В определенные дни червь портит файлы на диске C:, перезаписывая их текстом на испанском языке, а также устанавливает на зараженном компьютере стартовую страницу Internet Explorer на испанский сайт.

Когда пользователь открывает письмо, чтобы его прочесть, червь активизируется, получает доступ к ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма.

Для своей работы червь использует брешь в защите Internet Explorer 5.0 под названием «Scriptlet.Typelib security vulnerability».

Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает файл «loveday14-b.hta» в испанской версии Windows в каталоге :

«C:WINDOWSMENU INICIOPROGRAMASINICIO»

В остальных версиях Windows в каталоге:

«C:WINDOWSSTART MENUPROGRAMSSTARTUP»

Этот hta-файл содержит основной код червя и при следующем старте Windows будет выполнен, так как он находится в каталоге автозагрузки.

Затем червь создает файл «main.html», в который внедрен вирусный код, и пытается отправить его в виде письма по всем адресам из адресной книги Outlook. Тема сообщения — пустая.

Кроме этого червь пытается отправить свои сообщения через интернет на выбранные случайным образом номера мобильных телефонов испанского оператора сотовой связи. Эти сообщения содержат следующую информацию:

Тема: «Feliz san valentin»
Тело: «Feliz san valentin. Por favor visita» (сопровождается ссылкой на испанский сайт, инфицированный автором червя)

Червь также пытается отправить свои копии в виде файла «main.html» в IRC-каналы, используя клиент mIRC, если тот установлен на зараженном компьютере.

8, 14, 23, и 29 числа каждого месяца вирус предпринимает попытки перезаписать содержимое всех файлов на диске C: текстом на испанском языке:

Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amor
a Davinia, la chica mas guapa del mundo.
Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
Todos los dias a todas horas pienso en ti y cada segundo que no te veo es un infierno.
Quieres salir conmigo?
En cuanto a ti usuario, debo decirte que tus ficheros
no han sido contaminados por un virus,
sino sacralizados por el amor que siento por Davinia.

Имена запорченных файлов червь оставляет прежними, добавляя к ним расширение .TXT (т.е. C:COMMAND.COM станет C:COMMAND.COM.TXT).

VBS-скрипт частично зашифрован с помошью Vbscript.Encode. Содержит следующие комментарии:

«Que cosa mas tonta»
«loveday14 by Onel2 Melilla, Espaсa»
«feliz san valentin davinia»

Valentin: мастер на все руки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике