Архив

VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

VBS/Lovelet-CM — вновь появившийся новый вариант печально известного интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

При активизации червь копирует себя в каталог Windows в виде файла с именем «JENNIFERLOPEZ_NAKED.JPG.vbs». И затем начинает рассылку своих сообщений по всем адресам, найденным в пользовательской адресной книге пораженного компьютера. Письма червя имеют следующий вид:

Тема: Where are you?

Текст: This is my pic in the beach!
Вложение: JENNIFERLOPEZ_NAKED.JPG.vbs



Червь также ищет на всех доступных локальных и сетевых дисках файлы с расширениями .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG, .MP2 and .MP3 и затем перезаписывает их своим кодом. При этом:

  • Оригинальные расширения .JS, .JSE, .CSS, .WSH, .SCT и HTA червь изменяет на «.VBS».
  • Оригинальные расширения .JPG and .JPEG на двойные, соответственно, .JPG.VBS and .JPEG.VBS.
  • Ищет все музыкальные файлы с расширениями .MP2 или .MP3 и также перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Червь также создает в системном реестре ключи:

HKCUsoftwareJENNIFERLOPEZ_NAKED
значение которого — «Worm made in algeria»

HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run
значение которого — имя файла червя

Затем червь начинает рассылку своих сообщений по всем адресам из адресной книги Microsoft Outlook инфицированной машины.

И в заключение своей злодейской деятельности червь записывает на пораженный компьютер файл-дроппер, содержащий один из вариантов очень опасного вируса W95/CIH, также известного под именем «Чернобыль».

VBS/Lovelet-CM: появилась новая модификация зловредного интернет-червя

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике