Архив

VBS-червь Scary любит пошутить

Этот червь написан на языке Visual Basic Script (VBS). Распространяет свои копии по электронной почте, используя MAPI.

При активизации червь предлагает пользователю разрешить на компьютере использование ActiveX, выдавая следующие инструкции:

This HTML files needs ActiveX objects to operate.

Please click ‘Yes’ to enable ActiveX

Если Internet Explorer сконфигурирован таким образом, что запрашивает перед выполнением ActiveX дополнительного подтверждения, то IE выведет сообщение:

Some software (ActiveX controls) on this page might be unsafe. It is recommended that you not run it. Do you want to allow it to run?

(Некоторое программное обеспечение на этой странице может быть опасно. Рекомендуем вам не запускать его. Вы хотите разрешить его выполнение?)

Если пользователь выберет «Yes», начинает выполняться скрипт червя. Вначале выводятся многочисленные messagebox-ы в попытке ввести пользователя в заблуждение: будто бы его пароли были украдены и отправлены кому-то по электронной почте с помощью Outlook. Затем червь задает пользователю вопрос:

Genie of all secrets
So did you learn your lesson?
[YES] [NO]

Если выбрать «YES», то вирус записывает безобидный файл WinGen.dll в системную директорию Windows. Если этот файл уже существует, то процедура отправки писем червя не выполняется, показываются следующие несколько сообщений, и скрипт завершает свою работу.

Если пользователь выбирает «NO», выводятся другие сообщения червя, никаких файлов при этом не создается. При следующем старте системы червь запускает процедуру распространения своих копий по e-mail. Письмо червя имеет характеристики:

Тема: The Secret of Life
Присоединенный файл: SCARE.HTM

VBS-червь Scary любит пошутить

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике