Архив

Gabry — новый интернет-червь, рассылающий себя по E-mail

«Лаборатория Касперского» сообщает об обнаружении нового интернет-червя, получившего название I-Worm.Gabry.
Интернет-червь написан на скрипт-языке Visual Basic Script (VBS). Первая
инструкция червя содержит текст-копирайт «Gabry», по которй червь и получил
свое название.

Распространяется в электронных письмах и при активизации рассылает себя с
зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые
хранятся в адресной книге Outlook.

Известная версия червя содержит ошибку, в результате которой червь не в
состоянии рассылать зараженные письма. Однако, эта ошибка может быть легко
исправлена и червь будет в состоянии распространять свои копии по сетям
Инетрнет.

Червь также способен заразить локальную сеть. Для этого ищет доступные
сетевые ресурсы (диски) и копирует на них свой файл. Червь не может
запустить свои копии на удаленных компьютерах и способен заразить их только
в том случае, если они будут активизированы пользователем.

Червь попадает на компьютер в виде электронного письма с характеристиками:

Тема: I’am missing U
Текст: Could u remember me ?
Вложение: Y072QWV.VBS

При активизации (если пользователь открывает вложение) червь копирует себя
под именем Y072QWV.VBS в системный каталог Windows и регистрирует этот файл
в системном реестре с секции авто-запуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
«Y072QWV» = %Windir%Y072QWV.VBS

где Windir — имя системного каталога Windows.

Затем червь заражает локальную сеть — копирует себя с именем Y072QWV.VBS в
корневые каталоги всех сетевых дисков, доступных на запись.

При рассылке зараженных сообщений червь получает доступ к MS Outlook,
открывает адресную книгу, достает оттуда все адреса и рассылает по ним
письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя
прикрепленного файла те же, что и выше.

По той причине, что файл червя зарегистрирован в системном реестре как
авто-запускаемое приложение, червь затем активизируется каждый раз при
старте системы. Однако, рассылка писем происходит только при каждой 20-й
перезагрузке Windows. Для этого червь создает счетчик своих запусков и
хранит его в системном реестре в ключе:

HKEY_LOCAL_MACHINE «Y072QWV» = номер запуска

Gabry — новый интернет-червь, рассылающий себя по E-mail

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике