Архив

Afeto: хитрый макро-вирус напишет вам письмо

Антивирусные компании предупреждают компьютерных пользователей о появлении в «диком виде» нового макро-вируса для Word под названием W97M/Afeto (aka W97M_AFETO.A), по-разному оценивая его опасность. Computer Associates сообщает о нем, как о новой угрозе, а Trend Micro оценивает риск заражения этим вирусом, как невысокий. Особенность этого вируса в том, что он распространяется через электронную почту постоянно при этом видоизменяясь, чтобы избежать обнаружения.

При активизации вирус отключает макро-вирусную защиту в Word. Затем проверяет размер текущего документа Word. Если он не превышает 200 kb, то вирус сканирует все директории на зараженной машине на предмет поиска JPG-файлов. После этого вирус начинает вставлять найденные картинки в документ до тех пор, пока их общий объем не превышает 50 kb. Затем вирус сохраняет документ под новым именем и с помощью MS Outlook отправляет его как вложение по первым девяти адресам, найденным в MS Outlook в папке «Отправленные».

Имя документа, созданного вирусом, формируется следующим образом: вирус просматривает последние письма, отправленные с зараженной машины, выбирает одно из них, затем берет из поля «Кому» символы со 2-го по 6-й и делает их именем нового документа (например, если письмо было послано на адрес viruslist@avp2000.com, то имя вирусного файла будет «irusli.doc»).

Вирус также ищет на инфицированном компьютере диски I, H, G, F, E, D, C (именно в такой последовательности, как указано). Если находит, то сохраняет там текущий документ с новым именем (т.е., например, «irusli.doc»).

После отправки своих писем вирус удаляет на зараженной машине все письма кроме самого последнего из папки «Удаленные» в MS Outlook.

Процедуры защиты от макро-вируса Afeto уже добавлены в антивирусные базы «Антивируса Касперского» (AVP), и зарегистрированные пользователи могут защитится от этого и других вирусов и их модификаций, установив ежедневное обновление с сайта Лаборатории Касперского.

Техническое описание вируса Afeto от «Лаборатории Касперского»

Afeto: хитрый макро-вирус напишет вам письмо

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике