Архив

«Friend Message» — новый опасный вирус-червь, распространяющийся по email

Компания Norman Data Defense предупреждает о новом разрушительном вирусе-черве VBS/FriendMess, основанном на тех же принципах, что и печально знаменитый LoveLetter. Как утверждает Norman, новый червь — не модификация ILOVEYOU, а вполне самостоятельный и опасный скрипт-вирус, написанный на языке visual basic .

VBS/FriendMess распространяется, используя электронную почту, в виде письма с темой сообщения — «Friend Message», к которому прикреплен файл с именем FRIEND_MESSAGE.TXT.vbs. Если прикрепленный файл запустить на исполнение, то вирус становится активным и пытается немедленно заменить AUTOEXEC.BAT файлом, содержащим команды на удаление всех файлов из корневой директории Windows, из системного каталога Windows, из Windows Temp директории. Зловредный код должен сработать после перезагрузки системы, однако, в большинстве конфигураций Windows этого не произойдет:

  • Win 95/98: команды для удаления файлов не будут выполнены.
  • Win NT: замененный AUTOEXEC.BAT запустится, только если Windows NT сконфигурирован так, чтобы запускать его из Startup каталога Windows или если он будет запущен вручную.
  • Win 2000: попытка заменить AUTOEXEC.BAT будет отклонена.

Сразу после активизации вирус выводит сообщение следующего содержания:

«If you receive this message remember forever: A precious friend in all the world like only you! So think that.»

Затем вирус, используя MS Outlook, начинает посылать по электронной почте письма по всем адресам, содержащимся в адресной книге Outlook.

Тема сообщения:

FRIEND MESSAGE.

Тело письма содержит текст:

A real friend send this message to you.

FriendMess не пытается перезаписывать собой какие-либо файлы на жестком диске и не пробует закачивать что-нибудь из сети.

Если ваш компьютер подхватил этот вирус, Norman Data Defense советует удалить AUTOEXEC.BAT.


Техническое описание Worm.FriendMess от «Лаборатории Касперского».

«Friend Message» — новый опасный вирус-червь, распространяющийся по email

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике