Меню контента Закрыть

Архив

И снова все о нем: MARKER.EF

Архив

мин. на чтение

Авторы

Мы уже писали о недавнем клоне макро-вируса для MS WORD — MARKER, названном MARKER.EF. Компания Trend Micro представила более подробное описание этого вируса, добавив при этом, что риск инфицирования этим вирусом невелик.

MARKER.EF инфицирует документы и шаблоны MS WORD при открытии и закрытии документов WORD. Вирус не заражает повторно уже инфицированные документы, проверяя содержится ли в них его подпись — «TJ780611». Если не находит, то перед инфицированием вирус удаляет все макро-коды из модуля ThisDocument.

Деструктивные действия

Данный вирус имеет способность к самокопированию и во время этого процесса вирус удаляет все .dot и .doc файлы в каталоге, где WORD по умолчанию сохраняет свои документы. Вирус также изменяет некоторые свойства WORD, такие как UserName, UserInitials и UserAddress:

UserName на «TJ 2000»

UserInitials на «TJY2K»

UserAddress на TJ780611@ThePentagon.Com

По 11-м числам каждого месяца вирус создает файл «TJ.HTML», содержащий несколько стихотворных строк о женщинах, и выводит его на дисплей в качестве обоев после перезагрузки Windows. Если текущая системная дата больше 11, то вирус автоматически удаляет из системного реестра запись, отображающую этот HTML-файл.

Рекомендации по борьбе с MARKER.EF
  1. Нажмите START|RUN
    Наберите REGEDIT и затем нажмите клавишу ENTER

  2. На левой панели кликните на значок «+» напротив следующего:
    HKEY_CURRENT_USER
    Software
    Microsoft
    Windows
    CurrentVersion
    Run

  3. Найдите на правой панели ключ, который содержит значение WOMAN = «C:WINDOWSTJ.htm» и удалите его.
  4. На левой панели нажмите на значок «+» рядом с:
    HKEY_CURRENT_USER
    Software
    Microsoft
    Internet Explorer
    Desktop
    General

  5. На правой панели найдите ключ, содержащий следующее: Wallpaper = «C:WINDOWSTJ.htm».
  6. Сделайте необходимые изменения в содержании этого ключа. Здесь содержится
    команда для Windows отображать TJ.htm в виде обоев.

  7. Закройте редактор системного реестра.
  8. Удалите файл «c:windowstj.htm».
  9. Просканируйте ваш компьютер антивирусом, который способен найти документы
    MS Word, зараженные Marker.

Авторы

И снова все о нем: MARKER.EF

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике