Архив

И снова все о нем: MARKER.EF

Мы уже писали о недавнем клоне макро-вируса для MS WORD — MARKER, названном MARKER.EF. Компания Trend Micro представила более подробное описание этого вируса, добавив при этом, что риск инфицирования этим вирусом невелик.

MARKER.EF инфицирует документы и шаблоны MS WORD при открытии и закрытии документов WORD. Вирус не заражает повторно уже инфицированные документы, проверяя содержится ли в них его подпись — «TJ780611». Если не находит, то перед инфицированием вирус удаляет все макро-коды из модуля ThisDocument.

Деструктивные действия

Данный вирус имеет способность к самокопированию и во время этого процесса вирус удаляет все .dot и .doc файлы в каталоге, где WORD по умолчанию сохраняет свои документы. Вирус также изменяет некоторые свойства WORD, такие как UserName, UserInitials и UserAddress:

UserName на «TJ 2000»

UserInitials на «TJY2K»

UserAddress на TJ780611@ThePentagon.Com

По 11-м числам каждого месяца вирус создает файл «TJ.HTML», содержащий несколько стихотворных строк о женщинах, и выводит его на дисплей в качестве обоев после перезагрузки Windows. Если текущая системная дата больше 11, то вирус автоматически удаляет из системного реестра запись, отображающую этот HTML-файл.

Рекомендации по борьбе с MARKER.EF
  1. Нажмите START|RUN
    Наберите REGEDIT и затем нажмите клавишу ENTER

  2. На левой панели кликните на значок «+» напротив следующего:
    HKEY_CURRENT_USER
    Software
    Microsoft
    Windows
    CurrentVersion
    Run

  3. Найдите на правой панели ключ, который содержит значение WOMAN = «C:WINDOWSTJ.htm» и удалите его.
  4. На левой панели нажмите на значок «+» рядом с:
    HKEY_CURRENT_USER
    Software
    Microsoft
    Internet Explorer
    Desktop
    General

  5. На правой панели найдите ключ, содержащий следующее: Wallpaper = «C:WINDOWSTJ.htm».
  6. Сделайте необходимые изменения в содержании этого ключа. Здесь содержится
    команда для Windows отображать TJ.htm в виде обоев.

  7. Закройте редактор системного реестра.
  8. Удалите файл «c:windowstj.htm».
  9. Просканируйте ваш компьютер антивирусом, который способен найти документы
    MS Word, зараженные Marker.

И снова все о нем: MARKER.EF

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике