Архив

W32/Petik-K: новая модификация интернет-червя появилась в «диком виде»

W32/Petik-K — интернет-червь, распространяющийся в виде вложения в электронные письма. Маскируется под видео популярного французского телешоу под названием «Loft Story».

Червь копирует себя в каталог Windows в файл с именем loft_story.exe, а также в системный каталог Windows — в loft.exe. Затем модифицирует файл WIN.INI, чтобы loft.exe выполнялся автоматически при каждом старте Windows. После этого червь выводит message box с заголовком «Loft Story» и текстом: «I’m fucking the Loft Story».

Будучи запущенным из системного каталога Windows, червь создает в реестре ключ: HKCUSoftwareMicrosoftPetiK. А также записывает свой дроппер — файл loft.htm в стартовый каталог Windows, после чего ожидает подключения зараженной машины к интернету.

Когда червь обнаруживает подключение к интернету, он выводит на дисплей сообщение с заголовком «Loft Story» и текстом «Welcome to Internet !». Затем начинает искать email-адреса в файлах *.htm*, в каталоге «Internet cache», и предпринимает попытки отправить по этим адресам сообщения, присоединив к ним свою копию:

Тема сообщения: «Loft Story News…»
Тело сообщения: «The last video of the program»
Вложение: loft_story.exe

28-го числа каждого месяца червь модифицирует системный реестр, изменяя значения следующих ключей:

HKCUSoftwareMicrosoftInternet Explorer
MainStart Page = «http://www.loftstory.fr»

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOrganization= «LoftStory»

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOwner = «Aziz, Kenza, Loanna, etc…»

После чего показывает сообщение: «New Worm Internet coded by PetiK (c)2001».

HTML-файл, записанный червем на зараженную машину, loft.htm содержит VBS-скрипт, который модифицирует системный реестр:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunActiveX 1.0 = «C: ActiveX.vbs»

HKCUSoftwareMicrosoftInternet ExplorerDownload Directory = «C:».

Скрипт также меняет настройки MS Explorer, устанавливая стартовую страницу на http://www.ctw.net, откуда скачивает еще один VBS-скрипт.

W32/Petik-K: новая модификация интернет-червя появилась в «диком виде»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике