Архив

«Cuerpo»: Червь-невидимка с усовершенствованной технологией распространения

«Лаборатория Касперского» сообщает об обнаружении нового полиморфного Интернет-червя «Cuerpo». Компания уже получила несколько сообщений о случаях заражения данной вредоносной программой.

Важно отметить, что благодаря интегрированной технологии перехвата скрипт-вирусов «Script Checker» Антивирус Касперского эффективно блокирует атаки «Cuervo» без дополнительных обновлений базы данных.

«Cuerpo» заражает только компьютеры под управлением операционной системы MS Windows 95/98/ME с установленным Internet Explorer 5.0. Червь доставляется на компьютер в сообщениях электронной почты, которые не имеют постоянных признаков (тема, имя вложенного файла, тело письма). Кроме того, программный код «Cuerpo» обладает полиморфными свойствами и также не имеет постоянного вида.

Код вредоносной программы содержится одновременно в двух частях зараженного письма: невидимой подписи (в виде HTML-скрипта) и вложенном файле. Оба варианта червя используют хорошо известную брешь в системе безопасности Internet Explorer (Scriptlet.TypeLib). В случае, если на компьютере не установлена «заплатка», устраняющая данную брешь, то первый вариант «Cuerpo» проникает в компьютер непосредственно в момент чтения письма. Такой метод ранее использовался Интернет-червями «KakWorm», «BubbleBoy» и рядом других. Второй вариант червя активизируется только если пользователь собственноручно запустит вложенный файл.

Будучи запущенным, червь инициирует процедуру внедрения в систему и распространения. Главная особенность «Cuerpo» — использование сразу двух способов массовой рассылки с зараженных компьютеров. Во-первых, подобно другим Интернет-червям, он получает доступ к почтовой программе Outlook и отсылает свои копии по электронной почте. Во-вторых, он ищет на доступных дисках почтовые базы данных, собирает найденные в них e-mail адреса и отправляет их стандартным HTTP-запросом на удаленный Web-сайт. Там пакет автоматически обрабатывается и по всем найденным адресам направляется еще одна копия «Cuerpo». На данный момент вредоносный Web-сайт еще функционировал, но «Лаборатория Касперского» принимает меры к его скорейшему закрытию.

Среди других побочных действия червя следует отметить изменение на зараженных компьютерах стартового адреса Internet Explorer на пустую страницу. Через 4 дня стартовый адрес снова меняется на «http://www.freedonation.com».

Более подробная информация о «Cuerpo» доступна в Вирусной Энциклопедии Касперского.

Вы можете загрузить «заплатку» для системы безопасности Internet Explorer с сайта Microsoft.

«Cuerpo»: Червь-невидимка с усовершенствованной технологией распространения

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике