Архив

VBS/Postcard — новый интернет-червь, способный распространяться по локальной сети

VBS/Postcard — полиморфный интернет-червь, представляющий из себя VBS-скрипт и распространяющий свои копии в письмах электронной почты. Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из пользовательской адресной книги.

Червь заражает .ASP, .HTM, .HTML и .SHTML файлы в каталогах: WINDOWS, WINDOWSSYSTEM и WINDOWSTEMP, добавляя свой скрипт в конец этих файлов. В дополнение к этому червь предпринимает попытки скопировать себя в корень всех подключенных к зараженной машине сетевых дисков.

При первом запуске скрипта, в зависимости от установок защиты в Internet Explorer, на дисплей выводится предупреждающее сообщение:

Some software (ActiveX controls) on this page might be
unsafe. It is recommeneded that you not run it. Do you
want to allow it to run?

Если пользователь позволит запуск скрипта, то происходит заражение компьютера и на экране появляется сообщение червя:

HaPPy NeW Millenium


Happy new year (2001).

Best wishes from:

your dear …

Вирусный скрипт меняет стартовую страницу Internet Explorer на: C:WINDOWSTEMPmillenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}, а также отменяет все устанавки безопасности в Internet Explorer, что позволяет запускаться любым без исключения скриптам.

Червь создает на зараженной машине свои копии в виде следующих файлов:

C:WINDOWSSYSTEMpostcard.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWS2001.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWSSYSTEMdragonball.GT(dan kokoro hikareteku).{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWSTEMPmillenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
C:WINDOWSTEMPpost-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Помимо этого червь создает файл C:WINDOWSSYSTEM[db.GT].wsf, в котором содержатся инструкции по рассылке вирусного скрипта всем, кто занесен в адресную книгу Microsoft Outlook инфицированного компьютера. В зависимости от времени дня червь запускает свою процедуру распространения и рассылает сообщения, тема которых может быть одной из следующих:

  • Happy new Millenium (read the postcard (attached file))
  • Postcard for you is waiting (in attachment)
  • Happy 2001 (for more action check attached file)
  • Stroke of luck? in 2001? (happy 2001 -read attachment)
  • Goodies You have got a postcard (attached file)
  • Someone sent you a postcard (in attachment)

Присоединенный файл: C:WINDOWSTEMPpost-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Вирус меняет зарегистрированного собственника Windows на «Lord YuP — [C]apsule [C]orp» и зарегистрированную организацию на «DragonBall GT».

Затем вирус ищет все подключенные сетевые диски и создает свои копии в корне каждого из них в виде файла «docs.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}». После этого червь заражает все файлы с расширениями .ASP, .HTM, .HTML и .SHTML в каталогах WINDOWS, WINDOWSSYSTEM, WINDOWSTEMP.

В системном каталоге C:WINDOWS червь также создает еще один файл с именем «payl0ad.vbe», содержащий скрипт, который запускается в определенное время: 4:32, 4:37 или 4:48 (до или после полуночи) в понедельник, а также в 4:40-45 (до полуночи) или в 2:40-45 (после полуночи) в четверг. Однажды выполнившись, этот скрипт при запуске WordPad блокирует всю клавиатуру и мышь.

VBS/Postcard — новый интернет-червь, способный распространяться по локальной сети

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике