Security Lab

Virus.VBS. Small.a

Virus.VBS. Small.a

Данная вредоносная программа состоит из двух компонентов, первый из которых является файлом сценария языка Visual Basic Script, а второй — пакетным файлом командного интерпретатора.

Данная вредоносная программа состоит из двух компонентов, первый из которых является файлом сценария языка Visual Basic Script, а второй — пакетным файлом командного интерпретатора. Размер компонентов варьируется от 483 до 1368 байт.

Деструктивная активность

После запуска одной из составляющих вируса — командного интерпретатора — выполняется включение в системный реестр настроек из реестрового файла «autorun.reg», расположенного в каталоге с данным компонентом.

Затем осуществляется извлечение и перенос содержимого файла «autorun.bin» (находящегося там же либо в системном каталоге Windows) в файл «autorun.txt», расположенный в корневом каталоге логического диска C:

.\autorun.bin
%WinDir%\system32\autorun.bin
c:\autorun.txt

В случае отсутствия в каталоге с компонентом или в системном каталоге Windows заданных параметров командной строки выполняется поиск файла «autorun.vbs», его запуск и завершение работы компонента:

.\autorun.vbs
%WinDir%\system32\autorun.vbs

Для некоторых модификаций вируса также происходит создание подкаталога «system.» в системном каталоге Windows и копирование туда из каталога с компонентом всех файлов, соответствующих маске «autorun.*»:

%System%\system.

При запуске второй составляющей (файла сценария языка Visual Basic Script, обычно имеющего имя «autorun.vbs») выполняется сравнение текущей системной даты с датой, заданной в сценарии. Если они не совпадают, происходит завершение работы компонента. Если же обнаружено совпадение, запускается пакетный файл с именем «autorun.bat». Читается содержимое «autorun.txt» в корневом каталоге логического диска C: (если такой файл обнаружен; если он не нулевого размера, вирус расшифровывает его содержимое и отображает в окне сообщения).

При условии, что текущий год не больше 2030-го, производится копирование файлов, соответствующих маске «autorun.*», на все найденные локальные жесткие и сетевые диски, а также на съемные накопители (кроме носителей с именами «А» и «В»). Причем копирование происходит как непосредственно, так и путем вызова пакетного файла «autorun.bat» с различными параметрами.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!