Меню контента Закрыть

Архив

I-Worm.Hydra: новый интернет-червь может поработать у вас секретарем

Архив

мин. на чтение

Авторы

I-Worm.Hydra — интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 12-килобайтной Win32-программой (упакован, после распаковки размер червя — 26K). Написан на Visual Basic.

При запуске (если пользователь «кликнет» на файле-вложении) червь копирует себя в каталог Windows с именем MSSERV.EXE и регистрирует его в ключах авто-запуска системного реестра.

Червь остается в памяти Windows как невидимое приложение-сервис, подсоединяется к MS Outlook и регистрирует себя как обработчик событий MS Outlook. Червь обрабатывает два события MS Outlook: получение нового письма
(«NewMail») и отправку писем («ItemSend»).

При получении нового письма червь проверяет, а не является ли это письмо его собственным письмом с другого компьютера. Для проверки червь берет первый
вложенный в письмо файл (если такой есть) и проверяет его размер. Если размер вложения совпадает с длиной файла-червя, то червь считает, что это — его собственное письмо и удаляет его.

При отсылке писем с зараженного компьютера червь либо вкладывает в письмо свою копию со случайным 8-символьным EXE-именем (если в письме нет вложенных файлов), либо замещает первый вложенный файл своей копией. При этом
имя вложения остается без изменений, а расширение заменяется на .EXE.

По 13-м пятницам с 13:00 до 14:00 червь также записывает в начало текста отправляемых писем строку:

[I-Worm.Hydra] …by gl_st0rm of [mions]

Для того, чтобы скрыть свое присутствие и усложнить удаление файла-червя и измененных ключей реестра, червь удаляет файл MSCONFIG.EXE в системном каталоге Windows, ищет активные приложения и выгружает их из памяти Windows:

«AVP Monitor»
«AntiVir»
«Vshwin»
«F-STOPW»
«F-Secure»
«vettray»
«InoculateIT»
«Norman Virus Control»
«navpw32»
«Norton AntiVirus»
«Iomon98»
«AVG»
«NOD32»
«Dr.Web»
«Amon»
«Trend PC-cillin»
«File Monitor»

«Registry Monitor»
«Registry Editor»
«Task Manager»

Червь также удаляет антивирусные базы «Антивируса Касперского».

Подробнее о черве Hydra читайте в Вирусной Энциклопедии Касперского.

Авторы

I-Worm.Hydra: новый интернет-червь может поработать у вас секретарем

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике