Архив

Worm.Shorm заражает компьютеры в локальной сети

Worm.Shorm — cетевой червь, заражающий компьютеры под управлением Windows. Распространятся по локальным и глобальным сетям. При распространении выбирает компьютер-жертву и, если диск на компьютере открыт на полный доступ, создает на нем свою копию в каталоге авто-запуска Windows.

Также «ворует» пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кешированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru.

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах авто-запуска системного реестра. Таким образом, червь запускается при каждом рестарте Windows.

Затем червь обращается к Web-странице по адресу
«http://krenx.newmail.ru/ip.txt» и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем.

Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом) червь
пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start MenuProgramsStartUpAVPMonitor.exe
Главное менюПрограммыАвтозагрузкаAVPMonitor.exe

Таким образом зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows.

Червь также может «апдейтить» себя с Web-сайта. Для этого он обращается к Internet-файлу «http://krenx.newmail.ru/win.exe», скачивает его и запускает на локальной машине.

Технические детали

Worm.Shorm заражает компьютеры в локальной сети

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике