Архив

Что особенного в «Davinia»? Комментарий «Лаборатории Касперского»

В последние дни «Лаборатория Касперского» получила большое число запросов от пользователей, встревоженных многочисленными публикациями в средствах массовой информации, основанных на предупреждении одной антивирусной компании о появлении нового чрезвычайного опасного червя «Davinia».

«Davinia» распространяется по электронной почте при помощи почтовой программы MS Outlook. Червь использует весьма изощренный механизм проникновения червя на компьютеры пользователей. Он состоит из двух основных частей. Во-первых, на компьютер приходит электронное письмо, содержащее скрипт-программу, которая автоматически запускает дополнительное окно Internet Explorer и показывает хакерский Web сайт. Этот сайт содержит другую скрипт-программу, которая открывает документ Word, находящийся на том же сайте. В этом документе содержится макро-вирус, который незаметно отключает встроенную защиту от макро-вирусов в MS Word, так что пользователь не получает предупреждения о наличии в документе макросов.
Для этого червь использует обнаруженную в мае 2000 г. брешь с системе безопасности под названием «Office 2000 UA Control Vulnerability«.

После этого червь получает доступ к MS Outlook, считывает из адресной книги адреса электронной почты и рассылает по ним электронное письмо, описанное выше.
Таким образом, вирусная компонента всегда находится на удаленном Web сайте, а от компьютера к компьютеру пересылаются лишь ссылки на него.

«Davinia» имеет весьма опасное деструктивное действие: червь уничтожает все файлы на всех обнаруженных дисках, записывая на их место файл, при запуске которого выводится следующее сообщение:

VBScript: Onel2 - Melilla
Hola, tu nombre es [имя пользователя].
Tu email es [email-адрес пользователя].
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

На данный момент служба технической поддержки «Лаборатории Касперского» не получила ни одного сообщения об обнаружении «Davinia» в «диком» виде. Более того, в компании уверены, что червь не представляет абсолютно никакой опасности, поскольку Web сайт, использовавшийся для внедрения вредоносного кода на компьютеры пользователей был закрыт практически сразу после его обнаружения.

Несмотря на это, не исключена возможность появления новых версий червя, которые будут использовать другие сайты. В связи с этим мы рекомендуем пользователям
как можно скорее установить «заплатку» для MS Office, закрывающую брешь в системе безопасности этого пакета, которая используется червем. «Заплатка» доступна для загрузки с Web сайта Microsoft здесь.

Процедуры обнаружения и удаления «Davinia» уже добавлены в базу данных «Антивируса Касперского».

Более подробное техническое описание червя «Davinia» см. здесь.

Что особенного в «Davinia»? Комментарий «Лаборатории Касперского»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике