Инциденты

Afeto: хитрый макро-вирус напишет вам письмо

Антивирусные компании предупреждают компьютерных пользователей о появлении в «диком виде» нового макро-вируса для Word под названием W97M/Afeto (aka W97M_AFETO.A), по-разному оценивая его опасность. Computer Associates сообщает о нем, как о новой угрозе, а Trend Micro оценивает риск заражения этим вирусом, как невысокий. Особенность этого вируса в том, что он распространяется через электронную почту постоянно при этом видоизменяясь, чтобы избежать обнаружения.

При активизации вирус отключает макро-вирусную защиту в Word. Затем проверяет размер текущего документа Word. Если он не превышает 200 kb, то вирус сканирует все директории на зараженной машине на предмет поиска JPG-файлов. После этого вирус начинает вставлять найденные картинки в документ до тех пор, пока их общий объем не превышает 50 kb. Затем вирус сохраняет документ под новым именем и с помощью MS Outlook отправляет его как вложение по первым девяти адресам, найденным в MS Outlook в папке «Отправленные».

Имя документа, созданного вирусом, формируется следующим образом: вирус просматривает последние письма, отправленные с зараженной машины, выбирает одно из них, затем берет из поля «Кому» символы со 2-го по 6-й и делает их именем нового документа (например, если письмо было послано на адрес viruslist@avp2000.com, то имя вирусного файла будет «irusli.doc»).

Вирус также ищет на инфицированном компьютере диски I, H, G, F, E, D, C (именно в такой последовательности, как указано). Если находит, то сохраняет там текущий документ с новым именем (т.е., например, «irusli.doc»).

После отправки своих писем вирус удаляет на зараженной машине все письма кроме самого последнего из папки «Удаленные» в MS Outlook.

Процедуры защиты от макро-вируса Afeto уже добавлены в антивирусные базы «Антивируса Касперского» (AVP), и зарегистрированные пользователи могут защитится от этого и других вирусов и их модификаций, установив ежедневное обновление с сайта Лаборатории Касперского.

Техническое описание вируса Afeto от «Лаборатории Касперского»

Afeto: хитрый макро-вирус напишет вам письмо

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике