Архив

Lara: интернет-червь просит помочь ему с письмами

W32/Lara.worm — новый червь, прибывающий на компьютер в сообщении электронной почты в виде присоединенного файла. Для своего распространения использует Microsoft Outlook Express, с Microsoft Outlook червь терпит неудачу из-за ошибки в своем коде, хотя в подавляющем большинстве случаев у червя все равно не получается распространяться самостоятельно, без участия пользователя. Червь является деструктивным, он перезаписывает своим кодом все .EXE файлы в директории Windows.

Тема сообщения: Lara Wallpaper Download Software
Тело сообщения:

Hi %recipients name%

I found on the net a new interesting software about Lara Croft.
I send you because it’s very cooooooool!!!
Try it and say me your opinion about it

See you soon and enjoy to have it

Присоединенный файл: Laracr~1.EXE или LaraCroft.exe (имя файла может меняться)

При активизации (запуске присоединенного файла) червь выдает messagebox под заголовком «Lara Croft Lara Wallpaper Download Software»:

Hi Friends, 
This software downloads automatically new wallpaper on Lara Croft official site   
If you have any questions, go to www.eidosinterative.com 
Please register it on our site at  ww.eidosinteractive.comLaraRegister 
Thanks to have take this software 
Lara Croft Lara

При нажатии пользователем кнопки «OK» отображается следующее сообщение червя:

Please send this software about me to your friends...
You can select friends into your address book, now
Lara Croft

На зараженном компьютере червь совершает следующие действия:

  • предпринимает попытки создания ключей системного реестра:

    HKEY_LOCAL_MACHINESoftwareLaraCroft
    HKEY_LOCAL_MACHINESoftwareLaraCroftInstall

  • создает следующий ключ:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
    RunServicesLaraWallpaper=%InstallPath%Filename.exe
    [т.е. LaraWallpaper=C:WindowsDesktopLaraCroft.exe]

  • перезаписывает все .EXE файлы в директории Windows
  • пытается найти в адресной книге Windows (Windows Address Book) адресата по имени «a» и отправить ему свою копию по электронной почте, затем, если не находит, предлагает пользователю самому выбрать получателя(получателей) зараженного письма.
  • Lara: интернет-червь просит помочь ему с письмами

    Ваш e-mail не будет опубликован.

     

    Отчеты

    Таргетированная атака на промышленные предприятия и государственные учреждения

    Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

    ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

    ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

    Lazarus распространяет протрояненный DeFi-кошелек

    Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

    MoonBounce: скрытая угроза в UEFI

    В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике