Архив

I-Worm.NetSky.q

«Лаборатория Касперского» сообщает об учащении случаев заражения новой версией почтового червя I-Worm.NetSky.q. Данная версия была обнаружена 21 марта, однако лишь теперь уровень её распространенности превысили критическую отметку.

Червь распространяется через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги.

Основной компонент червя представляет собой PE EXE-файл, размером около 29KB. Червь упакован FSG, размер распакованного файла около 40KB.

Характеристики зараженных писем

Зараженные письма формируются из произвольных комбинаций:

Адрес отправителя:

Выбирается произвольно из числа найденных на зараженной машине.

Тема письма:

или произвольный набор символов.

Текст письма:

Также червь может дописывать в конец зараженного письма ложное сообщение о том, что данное письмо было проверено каким-либо антивирусом:

Имя вложения имеет множество различных вариантов. Зачастую это файлы с двойным расширением, где первое «doc» или «txt», а второе выбирается из списка:

Также червь способен посылать свои копии в виде ZIP-архивов.

Червь не посылает себя на адреса, в которых имеются подстроки:

Червь может посылать письма, содержащие IFRAME Exploit (аналогично червям Klez.h или Swen). В таком случае, при просмотре письма из уязвимого почтового клиента, произойдет автоматический запуск вложенного файла червя.

Процедуры детектирования и удаления нового червя были добавлены в базу данных «Антивируса Касперского» еще в момент его обнаружения.

Подробное описание I-Worm.NetSky.q будет доступно в «Вирусной энциклопедии» в ближайшее время.

I-Worm.NetSky.q

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике