Архив

VBS/European-A: еще один «дикий» червь замечен в интернете

VBS/European-A — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook.

При активизации червь создает каталог C:startup (если такой не существует) и сохраняет там свою копию в файле c одним из следующих имен:

«startup.bll»
«start.bll»
«winstart.bll»
«autoexec.bat.bll»
«win.ini.bll»
«config.bll»
«windoh.bll»
«fooled.bll»
«nothing.bll»
«gotcha***.fooled.bll» (где *** — 16 пробелов)

Затем регистрирует расширение «.BLL», как расширение для VBS-файлов, добавляя в системный реестр специальный ключ (HKCROOT.bll). Червь также создает в каталоге Windows файл «URGENT.TXT***.vbs» (где *** 17 пробелов перед «.vbs») и вносит изменения в реестр, чтобы этот файл выполнялся всякий раз при старте системы.

Затем червь предпринимает попытки добавить свой код в начало всех HTML, HTA, OCX, DLL, BAT, EXE, VBS и VBE файлов в текущей директории.

Если на зараженном компьютере инсталлирован Outlook, червь создает в каталоге Windows еще одну свою копию — файл с одним из следующих имен:

«Readme.TXT***.vbs»
«SECURE.JPG***.vbs»
«MyDildo.jpg***.vbs»

где *** — 2, 3, 3 пробела, соответственно.

После этого червь пытается разослать этот файл по электронной почте в виде вложения по всем адресам адресной книги MS Outlook. Тема и текст сообщения выбираются беспорядочно из следующих вариантов:

Тема сообщения может быть одной из следующих:

  • «Something very special»
  • «I know you will like this»
  • «Yes, something I can share with you»
  • «Wait till you see this!»
  • «Check out this picture of me masturbating»

Варианты текста сообщения:

  • «Hey you, take a look at the attached file. You won’t believe your eyes when you open it!»
  • «Run this vulnerable script checker to see if your system is vulnerable to malicious scripts.»
  • «Did you see the pictures of me and my battery operated boyfriend?»
  • «My best friend,This is something you have to see! Till next time»
  • «Is the Internet that safe? Check it out»

И, в заключение, червь без какой-либо цели, просто так, 10 раз откроет Notepad.

VBS/European-A: еще один «дикий» червь замечен в интернете

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике