Архив

Computer Associates сообщает о вирусе-черве Wscript/Kak

Компания Computer Associates International (CA), специализирующаяся на средствах антивирусной защиты, опубликовала предупреждение о новом вирусе-черве, получившем название Wscript/Kak. Как сообщается, этот вирус заражает компьютеры с ОС Windows 98. Кроме того, особо следует отметить, что вирус уже обнаружен в «диком» виде. Однако для заражения этим вирусом и дальнейшего его распространения необходимы довольно специфичные условия. Вирус Wscript/Kak распространяется по электронной почте и заражает только системы с Windows 98, на которых установлена почтовая программа Outlook Express 5.0. Причем для заражения пользователю не нужно даже открывать никаких присоединенных файлов. В этом механизм работы Wscript/Kak сходен с вирусом-червем I-Worm.BubbleBoy.

Если на компьютер пользователя попадает зараженное вирусом Wscript/Kak письмо, то находящаяся в нем программа начинает исполняться, если в браузере Internet Explorer 5 установлен низкий или средний уровень защиты. Вирус Wscript/Kak записывает свой код в каталог Windows в виде файла «Kak.HTA». Кроме того, часть кода вируса записывается в виде файла «Kak.HTM» и создается его копия в каталоге WindowsSystem, а в системном регистре появляется запись:

«HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRuncAgOu».

В результате таких манипуляций, вирус запускается на исполнение при каждой загрузке Windows.

Затем вирус ищет установки пользователя («Identities») в Outlook Express 5.0 и изменяет в них подпись пользователя, в качестве подписи по умолчанию теперь используется файл «C:WindowsKak.HTM». Таким образом, вирус Wscript.Kak присоединяет себя ко всем письмам, отправляемым пользователем.

Кроме того, вирус проверяет системную дату и время и, если сумма числа и часа оказывается больше 17, то на экран выводится надпись «Kagou-Anti-Kro$oft says not today!», после чего вирус пытается закрыть Windows.

Computer Associates уже выпустила обновление для своего антивирусного ПО, которое позволяет удалить вирус Wscript.Kak, его можно загрузить по адресу http://antivirus.cai.com.

Computer Associates сообщает о вирусе-черве Wscript/Kak

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике