Меню контента Закрыть

Архив

Gabry — новый интернет-червь, рассылающий себя по E-mail

Архив

мин. на чтение

Авторы

«Лаборатория Касперского» сообщает об обнаружении нового интернет-червя, получившего название I-Worm.Gabry.
Интернет-червь написан на скрипт-языке Visual Basic Script (VBS). Первая
инструкция червя содержит текст-копирайт «Gabry», по которй червь и получил
свое название.

Распространяется в электронных письмах и при активизации рассылает себя с
зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые
хранятся в адресной книге Outlook.

Известная версия червя содержит ошибку, в результате которой червь не в
состоянии рассылать зараженные письма. Однако, эта ошибка может быть легко
исправлена и червь будет в состоянии распространять свои копии по сетям
Инетрнет.

Червь также способен заразить локальную сеть. Для этого ищет доступные
сетевые ресурсы (диски) и копирует на них свой файл. Червь не может
запустить свои копии на удаленных компьютерах и способен заразить их только
в том случае, если они будут активизированы пользователем.

Червь попадает на компьютер в виде электронного письма с характеристиками:

Тема: I’am missing U
Текст: Could u remember me ?
Вложение: Y072QWV.VBS

При активизации (если пользователь открывает вложение) червь копирует себя
под именем Y072QWV.VBS в системный каталог Windows и регистрирует этот файл
в системном реестре с секции авто-запуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
«Y072QWV» = %Windir%Y072QWV.VBS

где Windir — имя системного каталога Windows.

Затем червь заражает локальную сеть — копирует себя с именем Y072QWV.VBS в
корневые каталоги всех сетевых дисков, доступных на запись.

При рассылке зараженных сообщений червь получает доступ к MS Outlook,
открывает адресную книгу, достает оттуда все адреса и рассылает по ним
письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя
прикрепленного файла те же, что и выше.

По той причине, что файл червя зарегистрирован в системном реестре как
авто-запускаемое приложение, червь затем активизируется каждый раз при
старте системы. Однако, рассылка писем происходит только при каждой 20-й
перезагрузке Windows. Для этого червь создает счетчик своих запусков и
хранит его в системном реестре в ключе:

HKEY_LOCAL_MACHINE «Y072QWV» = номер запуска

Авторы

Gabry — новый интернет-червь, рассылающий себя по E-mail

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

В той же категории

    • Последние публикации
    Отчеты

    ToddyCat — ваш скрытый почтовый ассистент. Часть 1

    Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.

    Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения

    Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.

    Mem3nt0 mori – Hacking Team снова с нами!

    Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2025.