Архив

I-Worm.Zafi.b

«Лаборатория Касперского» сообщает об увеличении активности обнаруженного в прошлую пятницу, 11 июня, интернет-червя I-Worm.Zafi.b, распространяющегося в качестве вложений в зараженные электронные письма, а также через локальные и файлообменные сети.

Червь написан на языке Assembler, упакован при помощи FSG и имеет размер 12800 байт. В распакованном виде размер увеличивается до 33292 байт.

Распространение через email

Червь распространяется в качестве вложений в зараженные электронные письма.

Для поиска адресов, по которым будет производиться рассылка зараженных писем, червь сканирует файлы с расширениями:

На адреса, содержащие подстроки:

отправка писем не осуществляется.

Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.

Распространение через локальные и файлообменные сети

Червь копирует свой файл во все папки, в имени которых встречаются строки:

Имя для файлов червя выбирается из следующего списка:

Инсталляция

После запуска копирует свой файл в системный каталог Windows. Имя файла генерируется случайным образом.

Червь регистрирует себя в ключе автозагрузки системного реестра:

Также червь создает уникальный идентификатор «_Hazafibb» для определения своего присутствия в системе.

Прекращает работу в памяти следующих процессов:

После остановки данных процессов, удаляет их файлы с диска.

Действия и проявления

Создает в корне диска C: файл «sys.txt».

Пытается обнаружить на компьютеры файлы некоторых антивирусных программ и перезаписывает их содержимое своими копиями.

Пытается произвести DoS-атаку на сайты:

Срочное обновление баз данных Антивируса Касперского для защиты от I-Worm.Zafi.b было выпущено 11 июня 2004 года.

Подробное описание червя опубликовано в «Вирусной энциклопедии».

I-Worm.Zafi.b

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике