Архив

VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

VBS/Lovelet-CM — вновь появившийся новый вариант печально известного интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

При активизации червь копирует себя в каталог Windows в виде файла с именем «JENNIFERLOPEZ_NAKED.JPG.vbs». И затем начинает рассылку своих сообщений по всем адресам, найденным в пользовательской адресной книге пораженного компьютера. Письма червя имеют следующий вид:

Тема: Where are you?

Текст: This is my pic in the beach!
Вложение: JENNIFERLOPEZ_NAKED.JPG.vbs



Червь также ищет на всех доступных локальных и сетевых дисках файлы с расширениями .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG, .MP2 and .MP3 и затем перезаписывает их своим кодом. При этом:

  • Оригинальные расширения .JS, .JSE, .CSS, .WSH, .SCT и HTA червь изменяет на «.VBS».
  • Оригинальные расширения .JPG and .JPEG на двойные, соответственно, .JPG.VBS and .JPEG.VBS.
  • Ищет все музыкальные файлы с расширениями .MP2 или .MP3 и также перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Червь также создает в системном реестре ключи:

HKCUsoftwareJENNIFERLOPEZ_NAKED
значение которого — «Worm made in algeria»

HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run
значение которого — имя файла червя

Затем червь начинает рассылку своих сообщений по всем адресам из адресной книги Microsoft Outlook инфицированной машины.

И в заключение своей злодейской деятельности червь записывает на пораженный компьютер файл-дроппер, содержащий один из вариантов очень опасного вируса W95/CIH, также известного под именем «Чернобыль».

VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике