Архив

Коварный червь MyParty обходит вирусные сканеры

Червь MyParty, сообщения о котором появились в прошедшую пятницу, поначалу казался самым обычным червем, как и многие из его предшественников. На сайтах антивирусных производителей были тут же вывешены свежие апдэйты, и распространение червя с этого момента, по идее, должно было бы медленно, но верно пойти на спад.

Однако все оказалось не так просто. Несмотря на обновления, инфицированные письма продолжают заражать огромное число компьютеров пользователей во всем мире. Это происходит вопреки тому, что антивирусные решения для почтовых шлюзов призваны блокировать «больные» письма ещё на сервере.

К сожалению, такие программы как MimeSweeper, InterScan VirusWall, McAfee Groupshield или Sybari Antigen не смогли корректно идентифицировать опасное приложение (имя файла: «www.myparty.yahoo.com» в формате UUEncode) и изъять сообщения из поступающей корреспонденции.

Как оказалось, причина того, что ряд антивирусных программ не может распознать вирус MyParty, кроется в некой «ошибке» самого червя, которая позволяет искажать расширения приложения. В соответствии с открытыми стандартами, действующими для почтовых отправлений в интернете (так называемые RFC’s — Requests for Comments), подобные письма не могут ни быть приняты, ни отосланы обратно отправителю. Благодаря «ошибке» в коде червя, почтовые программы принимают письма или же исправляют дефектные сообщения.

Многие почтовые вирусные сканеры не воспринимают прикрепленный MyParty-файл как приложение, поэтому он не детектируется. Системы Groupware, такие как Microsoft Exchange, исправляют дефектные послания, и неактивный червь снова активируется и может при этом беспрепятственно проникать в систему пользователя. Почтовые программы типа Outlook или Outlook Express также имеют обыкновение исправлять ошибки в прикрепленных файлах. При этом опять-таки происходят активация червя.

В данный момент большинство производителей работают над решением проблемы корректного распознавания вредителей даже в «неактивном» состоянии. А до тех пор, пока это решение не будет найдено, системные администраторы в фирмах должны запретить для получения в общем порядке все прикрепления с расширением *.COM («Attachment Blocking»). Это должно хотя бы на время помочь защититься от опасного червя тем почтовым системы, которые сами не способны его распознать.

Коварный червь MyParty обходит вирусные сканеры

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике