Архив

VBS.Mcon.b размножается в локальной сети

VBS.Mcon.b — это сетевой червь, который распространяется, создавая свои копии на локальных и сетевых дисках, а также сканируя сети на предмет досупных IP адресов.

Будучи запущеным (пользователем либо автоматически — из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог «Fonts»). Затем он прописывает скопированный файл в системном реестре таким
образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от «Fonts» и «Startup», он завершает работу имитируя системную ошибку сообщением:

ERROR
FILE I/O ERROR

Если же червь был запущен из каталога «Fonts» (при старте Windows), он запускает процедуру распространения.

Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге создает копию файла червя. Имя файла выбирается следующим образом: из списка последних используемых пользователем файлов (Recent files) случайным образом выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь затем расширение «.vbs». Таким образом настоящее расширение файла «.vbs» спрятано пробелами и не отображается в проводнике.

После сканирования дисков червь начинает сканировать сеть. Он случайным образом выбирает IP адрес, если он недоступен выбирается следующий адрес. Если же адрес доступен (отвечает), то червь копирует на него свою копию.

Если при сканировании дисков червь нашел каталог в имени которого содержится строка «mirc», он создает файл SCRIPT.INI. Скрипт-программа в этом файле
автоматически выполняется при запуске MIRC-клиента. Скрипт записанный червем сканирует сеть аналогично тому, как описано выше. Если он находит доступный IP адрес, на него посылается копия червя.

В одном случае из тысячи червь (в зависимости от счетчика случайных чисел) изменяет стартовую страницу Internet Explorer’a на «http://www.zonelabs.com/»

VBS.Mcon.b размножается в локальной сети

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике