Worm.VBS.Dinihou

Дата обнаружения 29/09/2015
Класс Worm
Платформа VBS
Описание

Вредоносный объект копирует свой исполняемый файл в папки «%APPDATA%» или «%TEMP%» и «%STARTUP%» и модифицирует ключи реестра для автоматического запуска при загрузке операционной системы. При обнаружении сменного носителя информации вредоносный объект копирует свой исполняемый файл в корень файловой системы обнаруженного сменного носителя, например, диска. Вновь созданному вредоносному файлу и всем файлам и папкам в корне диска Worm.VBS.Dinihou приписывает свойства «скрытый», «системный». Также для всех файлов и папок в корне диска вредоносный объект создает «ярлыки» (файлы с расширением lnk), которые видит пользователь вместо этих файлов и папок. Когда пользователь пытается открыть такой «файл» или «папку», происходит запуск вредоносного объекта.

В процессе функционирования вредоносный объект взаимодействует с сервером управления по протоколу HTTP. Для информирования сервера управления о готовности принять команду вредоносный объект осуществляет отправку HTTP-POST запроса на его относительный веб-адрес «/is-ready». В ответ на запрос вредоносный объект получает от сервера управления идентификатор команды и опциональный список параметров к ней.

География атак семейства Worm.VBS.Dinihou

География атак в период 27.09.2014 — 27.09.2015

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Индия 16,55
2 Алжир 10,35
3 Вьетнам 6,62
4 Мексика 5,26
5 Бразилия 5,15
6 Саудовская Аравия 3,90
7 Египет 3,14
8 Бангладеш 3,12
9 Малайзия 2,71
10 Непал 2,48

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом