Архив

Lara: интернет-червь просит помочь ему с письмами

W32/Lara.worm — новый червь, прибывающий на компьютер в сообщении электронной почты в виде присоединенного файла. Для своего распространения использует Microsoft Outlook Express, с Microsoft Outlook червь терпит неудачу из-за ошибки в своем коде, хотя в подавляющем большинстве случаев у червя все равно не получается распространяться самостоятельно, без участия пользователя. Червь является деструктивным, он перезаписывает своим кодом все .EXE файлы в директории Windows.

Тема сообщения: Lara Wallpaper Download Software
Тело сообщения:

Hi %recipients name%

I found on the net a new interesting software about Lara Croft.
I send you because it’s very cooooooool!!!
Try it and say me your opinion about it

See you soon and enjoy to have it

Присоединенный файл: Laracr~1.EXE или LaraCroft.exe (имя файла может меняться)

При активизации (запуске присоединенного файла) червь выдает messagebox под заголовком «Lara Croft Lara Wallpaper Download Software»:

Hi Friends, 
This software downloads automatically new wallpaper on Lara Croft official site   
If you have any questions, go to www.eidosinterative.com 
Please register it on our site at  ww.eidosinteractive.comLaraRegister 
Thanks to have take this software 
Lara Croft Lara

При нажатии пользователем кнопки «OK» отображается следующее сообщение червя:

Please send this software about me to your friends...
You can select friends into your address book, now
Lara Croft

На зараженном компьютере червь совершает следующие действия:

  • предпринимает попытки создания ключей системного реестра:

    HKEY_LOCAL_MACHINESoftwareLaraCroft
    HKEY_LOCAL_MACHINESoftwareLaraCroftInstall

  • создает следующий ключ:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
    RunServicesLaraWallpaper=%InstallPath%Filename.exe
    [т.е. LaraWallpaper=C:WindowsDesktopLaraCroft.exe]

  • перезаписывает все .EXE файлы в директории Windows
  • пытается найти в адресной книге Windows (Windows Address Book) адресата по имени «a» и отправить ему свою копию по электронной почте, затем, если не находит, предлагает пользователю самому выбрать получателя(получателей) зараженного письма.
  • Lara: интернет-червь просит помочь ему с письмами

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    MosaicRegressor: угроза в недрах UEFI

    Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

    Microcin снова в деле

    В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

    Эксплойты нулевого дня в операции WizardOpium

    Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике