Описание вредоносного ПО

Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay

Новые модификации почтового червя Bagle — Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay, при поиске электронных адресов жертв выполняют фильтрацию на предмет наличия в адресах следующих подстрок:

  • @avp.
  • @foo
  • @iana
  • @messagelab
  • @microsoft
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google
  • help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • news
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@.
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • update
  • winrar
  • winzip

Если любая подстрока найдена, то зараженное письмо в адрес жертвы не уходит. Именно этими действиями червя объясняется малое количество образцов червя, получаемых антивирусными компаниями.

Полное описание для двух указанных модификаций будет доступно в «Вирусной энциклопедии» в самое ближайшее время.

P.S. Если зараженные файлы с указанными модификациями имеют расширение cpl, то они детектируются как Email-Worm.Win32.Bagle.at.

Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике