Архив

Червь Anset маскируется под немецкий антитроянский сканер

По сообщению немецкого информационного сайта Trojaner-info с 23 октября 2001 года в Германии начал распространяться новый червь Anset. Вирус попадает на компьютеры в виде вложения, прикрепленного к электронному письму. Вложение, являющееся на самом деле Интернет-червем, замаскировано под известный в Германии анти-троянский сканер ANTS 3.0.

Более того, зараженное письмо рассылается от имени Андреаса Хаака, самого автора сканера ANTS. Судя по всему, создатель вируса должен быть хорошо знаком с господином Хааком, поскольку ему удалось хорошо скопировать его стиль письма.

Описание:

Червь является приложением Windows (PE EXE-файл), имеет размер около 462Kb или около 186Kb в упакованном виде (UPX), написан на Delphi.

Зараженные письма содержат:

Заголовок: ANTS Version 3.0
Текст:

Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.

Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.

Adieu, Andreas

webmaster@avnetwork.de

http://www.ants-online.de

Имя вложения: ants3set.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении), инсталлирует себя в систему и активизирует процедуру рассылки зараженных писем.

При инсталляции в систему червь копирует себя в каталог Windows со случайно выбранным именем, например:

zfcy.exe

BM.exe
GG.exe
hlutl.exe

и регистрируется в авто-ключе системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce «<имя фай"а>«=»C:Windows<имя фай"а>.exe»

При рассылке зараженных писем червь считывает адреса электронной почты из адресной книги MS Outlook, затем дополнительно ищет электронные адреса на диске C: в файлах, которые могут их содержать:

*.php *.htm *.shtm *.cgi *.pl

Затем червь копирует себя в корень диска C: с именем ANTS3SET.EXE, присоединяет этот файл к письму и отсылает письмо при помощи прямого соединения с SMTP-сервером.

Червь содержит ошибки в процедурах работы с почтовым сервером, и в некоторых случаях неспособен к распространению.

Червь Anset маскируется под немецкий антитроянский сканер

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике