Архив

Hermes — новый интернет-червь

I-Worm.Hermes — интернет-червь, распространяющийся во вложениях в электронные письма. Написан на Visual Basic. Для своего распространения червь использует MS Outlook. Является 30-килобайтной Win32-программой (упакован, после распаковки размер червя — 60K).

Червь подключается к почтовой системе MS Outlook, считывает из адресной книги Outlook почтовые адреса и рассылает по ним сообщения:

Заголовок: Re:
Текст: [%SenderName%]

где %SenderName% является именем отправителя (как оно прописано в настройках системы).

Имя вложения выбирается случайно из следующих вариантов:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

Червь также выводит сообщения:

_ i-Worm.Hermes _
Code by: gl

This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional memory,
or increase the value for Minimum Conventional Memory in the program’s
Memory properities sheet.

Червь открывает Web-страницу «http://www.seznam.cz», но ничего с ней более не делает. Пытается также создать новые ключи в реестре, но этого не происходит по причине ошибки в коде червя.

Hermes — новый интернет-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике