Архив

VBS-червь Scary любит пошутить

Этот червь написан на языке Visual Basic Script (VBS). Распространяет свои копии по электронной почте, используя MAPI.

При активизации червь предлагает пользователю разрешить на компьютере использование ActiveX, выдавая следующие инструкции:

This HTML files needs ActiveX objects to operate.

Please click ‘Yes’ to enable ActiveX

Если Internet Explorer сконфигурирован таким образом, что запрашивает перед выполнением ActiveX дополнительного подтверждения, то IE выведет сообщение:

Some software (ActiveX controls) on this page might be unsafe. It is recommended that you not run it. Do you want to allow it to run?

(Некоторое программное обеспечение на этой странице может быть опасно. Рекомендуем вам не запускать его. Вы хотите разрешить его выполнение?)

Если пользователь выберет «Yes», начинает выполняться скрипт червя. Вначале выводятся многочисленные messagebox-ы в попытке ввести пользователя в заблуждение: будто бы его пароли были украдены и отправлены кому-то по электронной почте с помощью Outlook. Затем червь задает пользователю вопрос:

Genie of all secrets
So did you learn your lesson?
[YES] [NO]

Если выбрать «YES», то вирус записывает безобидный файл WinGen.dll в системную директорию Windows. Если этот файл уже существует, то процедура отправки писем червя не выполняется, показываются следующие несколько сообщений, и скрипт завершает свою работу.

Если пользователь выбирает «NO», выводятся другие сообщения червя, никаких файлов при этом не создается. При следующем старте системы червь запускает процедуру распространения своих копий по e-mail. Письмо червя имеет характеристики:

Тема: The Secret of Life
Присоединенный файл: SCARE.HTM

VBS-червь Scary любит пошутить

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике