Архив

VBS_NFLIGHT.A — новый VBS-червь

VBS_NFLIGHT.A — интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). Распространяется в письмах электронной почты, используя MS Outlook, также посылает свои копии в IRC-каналы при помощи клиента mIRC. Содержит ошибки в своем коде, что делает невозможным заражение этим червем посредством сообщения электронной почты, тем самым минимизируя риск инфицирования.

После выполнения VBS-скрипт копирует себя в каталог Windows в виде файла «HELP.TXT.VBS». Затем модифицирует системный реестр:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun = «help.txt.vbs»

Червь также отключает на инфицированной системе различные функции безопасности, такие как:

  • устанавливает уровень безопасности Internet Explorer в самый низкий
  • устанавливает уровень безопасности в Windows Scripting Host (WSH) в самый низкий;
  • делает возможным удаленный запуск скриптов в WSH;
  • отключает в MS Outlook предупреждение об открытии VBS-файла.

Червь также имеет следующие способности:

  • когда текущий системный день месяца равен 5-ти, блокирует Рабочий Стол (desktop);
  • меняет имя зарегистрированного пользователя на «NightFlight», а имя организации на «Carpe Noctem»;
  • случайным образом изменяет «обои» Рабочего Стола (wallpaper), при этом используя стандартный набор из каталога Windows;
  • добавляет пункт «Start with NightFlight» в контекстное меню, когда пользователь зараженной машины щелкает правой кнопкой мыши на какой-либо файл или папку. Если затем пользователь выбирает этот пункт из меню (по правой кнопке), происходит запуск вирусного скрипта.

Затем червь начинает рассылку своих сообщений по всем адресам, найденным в адресной книге MS Outlook пораженного компьютера. Но при этом, вместо того, чтобы приаттачить VBS-скрипт к сообщению, червь вставляет его в тело письма. Таким образом скрипт не будет исполнен. Червь рассылает сообщения, имеющие следующий вид:

Тема: Hi 🙂
Тело: [исходный код червя]

Файл, который червь предполагал присоединить к сообщению — «WARNING.HTM», записывается в каталог Windows.

Червь ищет все подключенные сетевые диски, на которые разрешена запись, и сохраняет на них свою копию — файл «HELP.TXT.VBS».

Для заражения IRC-каналов червь создает управляющий скрипт SCRIPT.INI в каталоге C:MIRC. Этот скрипт отсылает файл «HELP.TXT.VBS» всем пользователям, подключающимся к зараженному каналу.

Если в зараженной системе инсталлирован «Помощник» Microsoft (он устанавливается по умолчанию в Windows 98 SE), то червь запускает этого агента в образе «Волшебника», с помощью него показывая сообщение:

The Nightflight is still out there!

VBS_NFLIGHT.A — новый VBS-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике