Архив

W95/Linong — новый интернет-червь

W95/Linong — интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Не работоспособен в WinNT/2000. Записывает на инфицированный компьютер еще одного интернет-червя, также являющегося VBS-скриптом.

При активизации червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Характеристики сообщения червя выбираются случайным образом из следующих вариантов:

Тема: Bill
Тело: Bill..
Вложение: BillGate.exe

Тема: Password
Тело:
Here The list of Nude Password Website. All of them Still Active, and few of them are death password
Вложение: 868879.exe

Тема: MyGirlFriend’ Dogs
Тело: Nice dog…
Вложение: BullBull.exe

Тема: Sexy Model
Тело: Did you ever see the sexy girls like her
Вложение: Sexy.Exe

Тема: Olive & Popeye
Тело: Olive And Popeye Cartoon
Вложение: Olive.exe

Тема: Sweet Lovely
Тело: My Icq Friend Sweet Lovely
Вложение: Lovely.exe

Тема: Info From CFusion
Тело: You can update your Cfusion Online For Free
Вложение: CFusion.Exe

Тема: Still Remember You
Тело: She is MY sexy Linong
Вложение: MyLinong.exe

Тема: Man Choice
Тело: Are You Man or women. This is The sponser from our site The man choice
Вложение: StarMild.exe

Тема: Need Help
Тело:
Do you need help ? to get money over the internet. You can read the help
Вложение: Help.exe

Тема: Light up The Night
Тело: Light up The Night PARTY…

Вложение: Light up the night.exe

Тема: Patch Your CFusion
Тело: Are You Ready Fix Your Cfusion,Please Update
Вложение: PatchFusion…

Червь создает на пораженном компьютере две своих копии:

  • в каталоге WINDOWS — файл с именем «PCpower.exe»,
  • в WINDOWSSYSTEM — файл с именем, выбранным случайным образом из списка:

    MyLinong.Exe
    868879.exe
    BullBull.exe
    CFusion.Exe
    Help.exe
    Kiss.Exe
    Light up the night.exe

    Lovely.exe
    Moly.exe
    Olive.exe
    PatchFusion.exe
    Popeye.exe
    Sexy.Exe
    StarMild.exe

    Затем, чтобы загружаться при старте системы, червь регистрирует эти копии в системном реестре:

    HKLMSoftwareMicrosoftWindowsCurrentVersion
    RunMyLinongC:WINDOWSSYSTEMMyLinong.exe

    HKLMSoftwareMicrosoftWindowsCurrentVersion
    RunPCPowerC:WINDOWSPCpower.exe

    Червь также создает на диске С: инфицированной машины 501 каталог:

    c:Linong I Love U So Much Linong For ever My Love0
    c:Linong I Love U So Much Linong For ever My Love1
    c:Linong I Love U So Much Linong For ever My Love2
    .
    .
    .
    c:Linong I Love U So Much Linong For ever My Love500

    Напоследок червь создает в ситемном каталоге WINDOWS файл MyLinong.VBS (около 10 kb), который также является интернет-червем, и регистрирует его в системном реестре:

    HKLMSoftwareMicrosoftWindowsCurrentVersion
    RunLinongC:WINDOWSSYSTEMMyLinong.vbs

    В результате вновь созданный скрипт будет выполняться при старте Windows и создает несколько своих копий:

    %WinDir%mylinong.jpg.shs
    %SysDir%Kern32Lin.vbs
    %WinDir%Vbrun32DLL.vbs
    %SysDir%mylinong.jpg.vbs

    Затем новоиспеченный червь модифицирует системный реестр:

    HKLMSoftwareMicrosoftWindowsCurrentVersion
    RunKern32lLin=%SysDir%Kern32Lin.vbs

    HKLMSoftwareMicrosoftWindowsCurrentVersion
    RunServicesVbrun32DLL=%WinDir%vbrun32DLL.vbs

    Скрипт также создает и запускает файл %Temp%mylinong.hta, который выводит на дисплей следующий текст:

    I Love You
    Linong

    You are the love of my love, 5173n1n3ty31gh7
    Almost One Year.., Miss U
    01*29**879
    01*29**868
    *©*

    Скрипт изменяет стартовую страницу Microsoft Internet Explorer на: «http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml». Затем предпринимает попытки разослать «дроппер» червя Linong по всем адресам из адресной книги Microsoft Outlook, присоединив его к сообщению:

    Тема: One of this mail
    Тело: True Story….
    Вложение: mylinong.exe

    В заключение червь, случайно перебирая IP-адреса локальной сети, пытается подключиться к разделяемому ресурсу с именем «C». Если это удается, то червь копирует себя на удаленный компьютер в Startup-каталог в виде файла «linong.vbs».

  • W95/Linong — новый интернет-червь

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике