Инциденты

Afeto: хитрый макро-вирус напишет вам письмо

Антивирусные компании предупреждают компьютерных пользователей о появлении в «диком виде» нового макро-вируса для Word под названием W97M/Afeto (aka W97M_AFETO.A), по-разному оценивая его опасность. Computer Associates сообщает о нем, как о новой угрозе, а Trend Micro оценивает риск заражения этим вирусом, как невысокий. Особенность этого вируса в том, что он распространяется через электронную почту постоянно при этом видоизменяясь, чтобы избежать обнаружения.

При активизации вирус отключает макро-вирусную защиту в Word. Затем проверяет размер текущего документа Word. Если он не превышает 200 kb, то вирус сканирует все директории на зараженной машине на предмет поиска JPG-файлов. После этого вирус начинает вставлять найденные картинки в документ до тех пор, пока их общий объем не превышает 50 kb. Затем вирус сохраняет документ под новым именем и с помощью MS Outlook отправляет его как вложение по первым девяти адресам, найденным в MS Outlook в папке «Отправленные».

Имя документа, созданного вирусом, формируется следующим образом: вирус просматривает последние письма, отправленные с зараженной машины, выбирает одно из них, затем берет из поля «Кому» символы со 2-го по 6-й и делает их именем нового документа (например, если письмо было послано на адрес viruslist@avp2000.com, то имя вирусного файла будет «irusli.doc»).

Вирус также ищет на инфицированном компьютере диски I, H, G, F, E, D, C (именно в такой последовательности, как указано). Если находит, то сохраняет там текущий документ с новым именем (т.е., например, «irusli.doc»).

После отправки своих писем вирус удаляет на зараженной машине все письма кроме самого последнего из папки «Удаленные» в MS Outlook.

Процедуры защиты от макро-вируса Afeto уже добавлены в антивирусные базы «Антивируса Касперского» (AVP), и зарегистрированные пользователи могут защитится от этого и других вирусов и их модификаций, установив ежедневное обновление с сайта Лаборатории Касперского.

Техническое описание вируса Afeto от «Лаборатории Касперского»

Afeto: хитрый макро-вирус напишет вам письмо

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике