Меню контента Закрыть

Архив

Червь Anset маскируется под немецкий антитроянский сканер

Архив

мин. на чтение

Авторы

По сообщению немецкого информационного сайта Trojaner-info с 23 октября 2001 года в Германии начал распространяться новый червь Anset. Вирус попадает на компьютеры в виде вложения, прикрепленного к электронному письму. Вложение, являющееся на самом деле Интернет-червем, замаскировано под известный в Германии анти-троянский сканер ANTS 3.0.

Более того, зараженное письмо рассылается от имени Андреаса Хаака, самого автора сканера ANTS. Судя по всему, создатель вируса должен быть хорошо знаком с господином Хааком, поскольку ему удалось хорошо скопировать его стиль письма.

Описание:

Червь является приложением Windows (PE EXE-файл), имеет размер около 462Kb или около 186Kb в упакованном виде (UPX), написан на Delphi.

Зараженные письма содержат:

Заголовок: ANTS Version 3.0
Текст:

Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.

Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.

Adieu, Andreas

webmaster@avnetwork.de

http://www.ants-online.de

Имя вложения: ants3set.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении), инсталлирует себя в систему и активизирует процедуру рассылки зараженных писем.

При инсталляции в систему червь копирует себя в каталог Windows со случайно выбранным именем, например:

zfcy.exe

BM.exe
GG.exe
hlutl.exe

и регистрируется в авто-ключе системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce «<имя фай"а>«=»C:Windows<имя фай"а>.exe»

При рассылке зараженных писем червь считывает адреса электронной почты из адресной книги MS Outlook, затем дополнительно ищет электронные адреса на диске C: в файлах, которые могут их содержать:

*.php *.htm *.shtm *.cgi *.pl

Затем червь копирует себя в корень диска C: с именем ANTS3SET.EXE, присоединяет этот файл к письму и отсылает письмо при помощи прямого соединения с SMTP-сервером.

Червь содержит ошибки в процедурах работы с почтовым сервером, и в некоторых случаях неспособен к распространению.

Авторы

Червь Anset маскируется под немецкий антитроянский сканер

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

В той же категории

    • Последние публикации
    Отчеты

    ToddyCat — ваш скрытый почтовый ассистент. Часть 1

    Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.

    Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения

    Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.

    Mem3nt0 mori – Hacking Team снова с нами!

    Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2025.