Архив

«Homepage» — обыкновенный интернет-червь

«Лаборатория Касперского» предупреждает пользователей об обнаружении нового Интернет-червя «Homepage», уже вызвавшего массовую эпидемию по всему миру. В течение последних часов служба технической поддержки компании получила сотни сообщений о фактах проникновения червя на компьютеры пользователей.

«Homepage» написан на скрипт-языке Visual Basic Script (VBS) и работоспособен только в операционных системах с установленным обработчиком скрипт-программ Windows Scripting Host (в Windows 98, Windows2000 он установлен по умолчанию). В обратном случае, файл-носитель червя просто не сможет быть выполнен.

Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в ее адресной книге. В результате, пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Главной отличительной чертой червя является то, что его код зашифрован, для того чтобы избежать обнаружения эвристическими анализаторами.

Рассылаемые червем письма имеют следующий вид:



При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к функциям Microsoft Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

После массовой рассылки писем «Homepage», чтобы не вызвать подозрений пользователя, действительно, как и обещано в тексте сообщения, открывает один из четырех порнографических Web-сайтов, адреса которых содержатся в коде червя.

«Homepage» является очередным вредоносным кодом, использующим для внедрения примитивный метод социального инжиниринга и не представляет опасности для тех, кто строго следует правилам «компьютерной гигиены». Под ударом оказались лишь те пользователи, которые, несмотря на многочисленные предупреждения, до сих пор позволяют себе роскошь запускать файлы сомнительного содержания на своих компьютерах», — комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского.

Процедуры обнаружения и удаления Интернет-червя «Homepage» уже добавлены в базу данных Антивируса Касперского.

«Homepage» — обыкновенный интернет-червь

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике