Архив

Бойтесь архивов RAR — в них может скрываться опасный вирус

В интернете обнаружен чрезвычайно опасный многокомпонентный вирус-червь Yanker. Ползет он по сети довольно хитрым способом — в виде архива RAR, прикрепленного к зараженным письмам.

Зараженные письма содержат:

Заголовок: Hi,my new webpage ;o)

Текст письма: Hi:
Here is my new webpage.Please check it,and give Me
some Advice.

Имя вложения: webpage.rar

Архив RAR содержит в себе файл «webpage.htm» и подкаталог «images», в котором содержатся основные
компоненты вируса.

После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла «webpage.htm» или при просмотре каталога «images» при помощи MS Explorer.

В обоих случаях червь использует для своего запуска один и тот же эксплойт «CodeBaseExec», встроенный в конец файлов. При помощи него запускается на исполнение файл «main_59.exe».

Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает
основной компонент червя — файл «yankee.vbs». Этот файл написан на Visual Basic Script и имеет размер
около 4к. Скрипт «yankee.vbs» при запуске осуществляет следующие действия:

  • Отсылает на адрес «xdvirus@peoplemail.com.cn» письмо, в которое помещает все обнаруженные
    пароли (при помощи утилиты PassDumder) и вложение «ip.txt» с IP-адресом пораженного компьютера.

  • Отсылает по всем адресам электронной почты, найденным в адресной книге MS Outlook, свой архив «webpage.rar».
  • Записывает в системный реестр Windows ключ:

    HKCUSOFTWAREyankee
    yankee = 1

  • Удаляет все доступные (не системные) каталоги на жестких и съемных дисках.

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание Yanker доступно в Вирусной Энциклопедии Касперского.

Бойтесь архивов RAR — в них может скрываться опасный вирус

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике