Архив

W32/Parrot — злобный попугай, который ну очень не любит Sophos

W32/Parrot (aka W32/Crackly) — интернет-червь, распространяющийся посредством писем электронной почты. Также пытается (безуспешно) передавать свои копии в каналы IRC. Для рассылки своих копий по e-mail использует Microsoft Outlook и предпринимает попытки отправить их первым 2000 пользователям, найденным в адресной книге Outlook инфицированного компьютера. Является компаньон-вирусом.
Червь создает .MP3 файл и проигрывает его всякий раз при запуске приложений Windows. Помимо этого проявляет себя созданием множества .TMP-файлов в каталоге Windows, имена которых состоят из 27 символов, а также тем, что на зараженной машине невозможно корректно закрыть Windows.

Червь попадает на компьютер в виде присоединенного файла, прикидывающегося скринсейвером, к сообщению электронной почты, имеющему следующие характеристики:

Тема: Parrot screensaver
Тело: Hehe hey, look at this screensaver 🙂
Вложение: PARROT.SCR

При активизации (запуске PARROT.SCR) червь создает на зараженной машине несколько файлов:

  • C:PARROT.SCR — копия червя
  • %WinDir%PARROT.MP3 — аудио-файл, проигрывает:

    «Hi there, I’m Parrot, the talking virus, written by Jigabyte.»

  • %WinDir%HELLO.MP3 — аудио-файл, после некоторой цензуры:

    «You’d better not f!@# on the table Graham Cluley, you son of a bitch. I don’t even know the lady and she calls me a son of a bitch! Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna f!@#. I tell her you no understand, I wanna fork on the table. She say you better no f!@# on the table, you son of a bitch. I don’t even know the lady and she calla me a son of a bitch. I — don’t — need — this»

  • %WinDir%WINSTART.BAT, содержит следующий текст:

    @cls
    @echo You’re infected with Parrot, the talking virus,
    @echo by Gigabyte/Metaphase

  • %WinDir%MSG.VBS, содержит сообщение с заголовком: «VBScript: Parrot» и текстом:

    «You’d better not f!@# on the table Graham Cluley, you son of a bitch. I don’t even know the lady and she calls me a son of a bitch!

    Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna f!@#. I tell her you no understand, I wanna fork on the table. She say you better no f!@# on the table, you son of a bitch. I don’t even know the lady and she calla me a son of a bitch. I — don’t — need — this»

Червь переименовывает все EXE-файлы, найденные в каталоге WINDOWS (за исключением EXPLORER.EXE, PTSNOOP.EXE, RUNDLL.EXE, TASKMON.EXE, and WSCRIPT.EXE), изменяя их расширение на .PRT и при этом копируя себя в оригиналы EXE-файлов. Например, червь переименовывает NOTEPAD.EXE в NOTEPAD.PRT, а оригинальный NOTEPAD.EXE переписывает своим кодом. При запуске такого EXE-файла червь проигрывает файл PARROT.MP3 и затем соответствующий (оригинальному .EXE) .PRT-файл копирует в HOST.EXE, после чего запускает его оттуда. Следует добавить, что в одно и то же время не может быть запущено больше одного приложения WINDOWS.

Червь создаетпереписывает файл C:MIRCSCRIPT.INI с инструкциями посылать файл C:WINDOWSPARROT.SCR всем пользователям IRC-каналов (чатов), которым отправляются сообщения с зараженной машины. Однако, в программе червя содержатся ошибки, и такой способ распространения терпит неудачу.

Червь создает в системном реестре ключи, чтобы аудио-файл загружался всякий раз при старте Windows, а также для вывода message box при последующем старте системы:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Run(Default)=hello.mp3

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunOnce(Default)=msg.vbs

W32/Parrot — злобный попугай, который ну очень не любит Sophos

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике