Архив

W32/Petik-K: новая модификация интернет-червя появилась в «диком виде»

W32/Petik-K — интернет-червь, распространяющийся в виде вложения в электронные письма. Маскируется под видео популярного французского телешоу под названием «Loft Story».

Червь копирует себя в каталог Windows в файл с именем loft_story.exe, а также в системный каталог Windows — в loft.exe. Затем модифицирует файл WIN.INI, чтобы loft.exe выполнялся автоматически при каждом старте Windows. После этого червь выводит message box с заголовком «Loft Story» и текстом: «I’m fucking the Loft Story».

Будучи запущенным из системного каталога Windows, червь создает в реестре ключ: HKCUSoftwareMicrosoftPetiK. А также записывает свой дроппер — файл loft.htm в стартовый каталог Windows, после чего ожидает подключения зараженной машины к интернету.

Когда червь обнаруживает подключение к интернету, он выводит на дисплей сообщение с заголовком «Loft Story» и текстом «Welcome to Internet !». Затем начинает искать email-адреса в файлах *.htm*, в каталоге «Internet cache», и предпринимает попытки отправить по этим адресам сообщения, присоединив к ним свою копию:

Тема сообщения: «Loft Story News…»
Тело сообщения: «The last video of the program»
Вложение: loft_story.exe

28-го числа каждого месяца червь модифицирует системный реестр, изменяя значения следующих ключей:

HKCUSoftwareMicrosoftInternet Explorer
MainStart Page = «http://www.loftstory.fr»

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOrganization= «LoftStory»

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOwner = «Aziz, Kenza, Loanna, etc…»

После чего показывает сообщение: «New Worm Internet coded by PetiK (c)2001».

HTML-файл, записанный червем на зараженную машину, loft.htm содержит VBS-скрипт, который модифицирует системный реестр:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunActiveX 1.0 = «C: ActiveX.vbs»

HKCUSoftwareMicrosoftInternet ExplorerDownload Directory = «C:».

Скрипт также меняет настройки MS Explorer, устанавливая стартовую страницу на http://www.ctw.net, откуда скачивает еще один VBS-скрипт.

W32/Petik-K: новая модификация интернет-червя появилась в «диком виде»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике