Архив

VBS_TUNE.E: знакомая песенка

VBS_TUNE.E — интернет-червь (alias VBS/Cod.C). Написан на языке Visual Basic Script (VBS). Распространяется по электронной почте, используя для этого MAPI, и через IRC-каналы (Internet Relay Chat) при помощи клиента mIRC.

Червь посылает свои копии по e-mail по всем адресам пользовательской адресной книги, а также отправляет пользователям mIRC свои копии, замаскированные под список паролей взломанных порно-сайтов: «A List Of Hacked Porno site passwords».

Пример письма червя, рассылаемого по e-mail:

Тема письма: «Hey whats up!»

Тело письма:

«Hey, I attatched a list for you to this e-mail take a look at it and tell me what you think. 🙂
Имя присоединенного файла: pornlist.txt

Присоединенный файл действительно является документом Word, содержащим некий текст на английском языке. Однако внутри этого файла находится внедренный VBS-объект, который и является телом червя. При открытии присоединенного файла червь запускается на исполнение и начинает копировать себя в VBS-формате в один или несколько файлов со следующими именами:

c:Windowssystemlist.vbs
c:Windowssystemexplorer.vbs
c:Windowslist.vbs
c:Windowstemplist.vbs
c:Windowswinsck.vbs
c:Windowscalc.vbs
c:Windowswin.vbs
c:Windowstmp.vbs
c:Windowsfax.vbs

Червь записывает на диск зараженного компьютера следующие файлы, в которые внедрен его зловредный код:

c:Windowscod.cod
c:pornlist.txt

Червь также копирует файл pornlist.txt на диск a:, если тот находится в дисководе. Затем злодей вносит изменения в системный реестр, чтобы активизироваться автоматически после перезагрузки зараженной машины. Для той же цели червь модифицирует файлы c:Windowswin.ini и c:Windowssystem.ini.

При рассылке своих копий через mIRC, червь модифицирует свои послания таким образом, что пользователь, которому приходит зараженный файл, не получает предупреждения об опасности, какое обычно бывает при получении файлов со следующими расширениями: .exe, .com, *.bat, *.dll, *.ini, *.vbs.

Если текущая системная дата 20 апреля или 25 декабря, то червь уничтожает все файлы и каталоги в текущей директории.

VBS_TUNE.E: знакомая песенка

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике