Архив

VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

VBS/Lovelet-CM — вновь появившийся новый вариант печально известного интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

При активизации червь копирует себя в каталог Windows в виде файла с именем «JENNIFERLOPEZ_NAKED.JPG.vbs». И затем начинает рассылку своих сообщений по всем адресам, найденным в пользовательской адресной книге пораженного компьютера. Письма червя имеют следующий вид:

Тема: Where are you?

Текст: This is my pic in the beach!
Вложение: JENNIFERLOPEZ_NAKED.JPG.vbs



Червь также ищет на всех доступных локальных и сетевых дисках файлы с расширениями .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG, .MP2 and .MP3 и затем перезаписывает их своим кодом. При этом:

  • Оригинальные расширения .JS, .JSE, .CSS, .WSH, .SCT и HTA червь изменяет на «.VBS».
  • Оригинальные расширения .JPG and .JPEG на двойные, соответственно, .JPG.VBS and .JPEG.VBS.
  • Ищет все музыкальные файлы с расширениями .MP2 или .MP3 и также перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Червь также создает в системном реестре ключи:

HKCUsoftwareJENNIFERLOPEZ_NAKED
значение которого — «Worm made in algeria»

HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run
значение которого — имя файла червя

Затем червь начинает рассылку своих сообщений по всем адресам из адресной книги Microsoft Outlook инфицированной машины.

И в заключение своей злодейской деятельности червь записывает на пораженный компьютер файл-дроппер, содержащий один из вариантов очень опасного вируса W95/CIH, также известного под именем «Чернобыль».

VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике