Архив

Лаборатория Касперского сообщает о новом вирусе HAPPY99

ВНИМАНИЕ: Новогоднее поздравление вирусописателей.

Новый вирус — первый «современный» «Интернет-червь» (Internet Worm) обнаружен «в живом виде». «Червь» «выпущен на волю» в январе 1999 (предположительно самим автором). Во второй половине января с.г. злоумышленниками были разосланы письма на несколько Internet-серверов международных агентств новостей, зараженные этим вирусом . Наибольшее количество сообщений о появлении в компьютерах «червя» были зарегистрированы в Европейских сетях Internet, особенно во Франции. Несколько дней назад российская компания Лаборатория Касперского проанализировала данный вирус.

«Интернет-червь» распространяется как вложенный в письмо EXE-файл с именем HAPPY99.EXE. При запуске этого файла «червь» вызывает видео — эффект, напоминающий фейерверк, и поздравляет с Новым 1999 годом. Помимо этого, «червь» вызывает процедуру инсталляции своего кода в систему: копирует себя в системный каталог Windows, перехватывает функции работы с Internet, конвертирует свой код в формат почтового вложения и добавляет его к отсылаемым письмам.

Таким образом, «червь», инсталлированный в систему, рассылает свои копии в Internet по всем адресам, на которые пользователь посылает сообщения. «Червь» не использует дисковые файлы как основные объекты для размножения и распространения своих копий, а рассылает свой код в сеть Internet в виде вложений в электронные письма.

Лаборатория Касперского рекомендует пользователям при обнаружении данного «поздравления» в своем компьютере не отчаиваться, а грамотно удалить его:

Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows, заменить файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA.
Найти и удалить первоначальный EXE-файл HAPPY99.EXE.
Для дальнейшей защиты компьютера от данного вируса достаточно всего лишь установить атрибут «только чтение» у файла WSOCK32.DLL. «Червь» не в состоянии заразить систему в этом случае, т.к. он не обрабатывает атрибуты файлов.

Нелишне напомнить:

Ни в коем случае не следует запускать файл HAPPY99.EXE вне зависимости от того, откуда он был получен — даже, если письмо получено с адреса, который Вам известен и которому Вы абсолютно доверяете.

Следует также помнить, что выполняемые файлы, которые Вы получаете из сети Internet могут быть опасными для Вашего компьютера: в них могут оказаться программы, способные заразить компьютер новым вирусом, разрушить данные, передать с Вашего компьютера в Internet конфиденциальную информацию, установить «шпионскую» программу скрытного управления с удаленного адреса и т.п.
Открытие полученных из сети Internet файлов MS Office с отключенной защитой от макро-вирусов и запуск непроверенных EXE-файлов чрезвычайно рискованное дело.
Обо всем этом следует помнить каждый раз, когда Вы получаете очередное письмо с вложенным в него файлом.

Лаборатория Касперского сообщает о новом вирусе HAPPY99

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике