Архив

VBS_TUNE.E: знакомая песенка

VBS_TUNE.E — интернет-червь (alias VBS/Cod.C). Написан на языке Visual Basic Script (VBS). Распространяется по электронной почте, используя для этого MAPI, и через IRC-каналы (Internet Relay Chat) при помощи клиента mIRC.

Червь посылает свои копии по e-mail по всем адресам пользовательской адресной книги, а также отправляет пользователям mIRC свои копии, замаскированные под список паролей взломанных порно-сайтов: «A List Of Hacked Porno site passwords».

Пример письма червя, рассылаемого по e-mail:

Тема письма: «Hey whats up!»

Тело письма:

«Hey, I attatched a list for you to this e-mail take a look at it and tell me what you think. 🙂
Имя присоединенного файла: pornlist.txt

Присоединенный файл действительно является документом Word, содержащим некий текст на английском языке. Однако внутри этого файла находится внедренный VBS-объект, который и является телом червя. При открытии присоединенного файла червь запускается на исполнение и начинает копировать себя в VBS-формате в один или несколько файлов со следующими именами:

c:Windowssystemlist.vbs
c:Windowssystemexplorer.vbs
c:Windowslist.vbs
c:Windowstemplist.vbs
c:Windowswinsck.vbs
c:Windowscalc.vbs
c:Windowswin.vbs
c:Windowstmp.vbs
c:Windowsfax.vbs

Червь записывает на диск зараженного компьютера следующие файлы, в которые внедрен его зловредный код:

c:Windowscod.cod
c:pornlist.txt

Червь также копирует файл pornlist.txt на диск a:, если тот находится в дисководе. Затем злодей вносит изменения в системный реестр, чтобы активизироваться автоматически после перезагрузки зараженной машины. Для той же цели червь модифицирует файлы c:Windowswin.ini и c:Windowssystem.ini.

При рассылке своих копий через mIRC, червь модифицирует свои послания таким образом, что пользователь, которому приходит зараженный файл, не получает предупреждения об опасности, какое обычно бывает при получении файлов со следующими расширениями: .exe, .com, *.bat, *.dll, *.ini, *.vbs.

Если текущая системная дата 20 апреля или 25 декабря, то червь уничтожает все файлы и каталоги в текущей директории.

VBS_TUNE.E: знакомая песенка

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике