Архив

Информация об интернет-черве Urick

Вирус-червь Urick распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Данный червь является приложением Windows (PE EXE-файл), имеет размер около 9K (упакован UPX, размер распакованного файла — около 30K), написан на Visual Basic.

Urick использует программные приёмы, усложняющие его детектирование эвристическими сканерами.

Червь содержит ошибки и в некоторых случаях (в зависимости от настроек системы) не в состоянии рассылать зараженные письма.

Зараженные письма содержат:

Заголовок: A Windows Trick

Текст:

This is a cool Windows Trick. Microsoft has not developed a patch for this because they do not want to.
Execute the file attached to learn more of this Windows Trick.
If it did not work, use a Linux system instead.
The Microsoft Support Team.

Имя вложения: не фиксировано

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге.

При инсталляции червь копирует себя с текущим именем (как во вложении в зараженном письме) в каталог «My Documents» (или «Мои Документы» — в зависимости от настроек системы) и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Каждый месяц по числам 5, 10, 15, 20, 25, 30 червь в бесконечном цикле выводит сообщение:

Процедуры защиты от данной вредоносной программы уже добавлены в базу данных Антивируса Касперского.

Информация об интернет-черве Urick

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике