Архив

Интернет-червь «Coronex» спекулирует на страхе перед вирусом SARS

Вирусописатели, на все лады ухищряясь в придумывании «актуальных» тем для компьютерных вирусов, не могли обойти стороной эпидемию вируса SARS — вируса атипичной пневмонии, который унес жизни более 18- человек по всему миру.

Перед началом рассылки червь выводит на экран сообщение:

Кроме того, червь подменяет текущую стартовую страницу Internet Explorer ссылкой на статью, посвящённую вирусу SARS, на интернет-сайте Всемирной Организации Здравоохранения:


http://www.who.int/csr/don/2003_04_19/en

При рассылке зараженных писем червь «Coronex» считывает адреса из адресной базы WAB и затем напрямую подключается к SMTP-серверу. Рассылка писем выполняется каждый час, в момент времени xx:01:01. Значения полей «От» и «Тема», текст письма и имя вложения могут быть такими:

‘sars@hotmail.com’
SARS
Severe Acute Respiratory Syndrome
sars.exe

‘sars2@hotmail.com’
I need your help
Severe Acute Respiratory Syndrome
corona.exe

‘corona@hotmail.com’
Virus Alert!
SARS Virus
virus.exe

‘virus@yahoo.com’
Corona Virus
honk kong
hongkong.exe

‘deaths@china.com’
bye
deaths virus
deaths.exe

‘virus@china.com’
SARS
SEE Ya
sars2.exe

‘virus2@china.com’
SARS Virus
SARS Corona Virus
cv.exe

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Coronex» доступно в Вирусной Энциклопедии Касперского.

Интернет-червь «Coronex» спекулирует на страхе перед вирусом SARS

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике