Архив

«Anna Kournikova»: новый интернет-червь появился в «диком виде»

Сегодня многие антивирусные компании сообщают о появлении в «диком виде» и быстром распространении нового интернет-червя, получившего имя «Anna Kournikova» (aka VBS_KALAMAR.A, VBS/SST, Kalamar, VBS/VBSWG.J, VBS/Onthefly.A, Lee). Риск заражения этим вирусом оценен антивирусными компаниями как высокий. В виде приманки для доверчивого пользователя предлагается посмотреть якобы jpg-файл — фото известной российской теннисистки Анны Курниковой.

Червь представляет из себя VBS-скрипт и распространяется как вложение в электронные письма. При рассылке писем использует MS Outlook.
Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).

Характеристики письма, содержащего червя, следующие:

Тема сообщения: Here you have, ;o)
Тело сообщения:

Hi:
Check This!

Вложение: AnnaKournikova.jpg.vbs

При активизации (при открытии присоединенного файла) червь записывает свою копию в каталоге Windows. Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией.

Червь также модифицирует системный реестр, добавляя в него свой ключ со значением «Worm made with Vbswg 1.50b»:

HKCUSoftwareOnTheFly

В коде червя содержится следующий текст:

▒VBS.OnTheFly Created By On the Fly

▒Vbswg 1.50b

26-го января червь пытается открыть сайт в Нидерландах: www.dynabyte.nl.

«Anna Kournikova»: новый интернет-червь появился в «диком виде»

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике