Архив

Lara: интернет-червь просит помочь ему с письмами

W32/Lara.worm — новый червь, прибывающий на компьютер в сообщении электронной почты в виде присоединенного файла. Для своего распространения использует Microsoft Outlook Express, с Microsoft Outlook червь терпит неудачу из-за ошибки в своем коде, хотя в подавляющем большинстве случаев у червя все равно не получается распространяться самостоятельно, без участия пользователя. Червь является деструктивным, он перезаписывает своим кодом все .EXE файлы в директории Windows.

Тема сообщения: Lara Wallpaper Download Software
Тело сообщения:

Hi %recipients name%

I found on the net a new interesting software about Lara Croft.
I send you because it’s very cooooooool!!!
Try it and say me your opinion about it

See you soon and enjoy to have it

Присоединенный файл: Laracr~1.EXE или LaraCroft.exe (имя файла может меняться)

При активизации (запуске присоединенного файла) червь выдает messagebox под заголовком «Lara Croft Lara Wallpaper Download Software»:

Hi Friends, 
This software downloads automatically new wallpaper on Lara Croft official site   
If you have any questions, go to www.eidosinterative.com 
Please register it on our site at  ww.eidosinteractive.comLaraRegister 
Thanks to have take this software 
Lara Croft Lara

При нажатии пользователем кнопки «OK» отображается следующее сообщение червя:

Please send this software about me to your friends...
You can select friends into your address book, now
Lara Croft

На зараженном компьютере червь совершает следующие действия:

  • предпринимает попытки создания ключей системного реестра:

    HKEY_LOCAL_MACHINESoftwareLaraCroft
    HKEY_LOCAL_MACHINESoftwareLaraCroftInstall

  • создает следующий ключ:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
    RunServicesLaraWallpaper=%InstallPath%Filename.exe
    [т.е. LaraWallpaper=C:WindowsDesktopLaraCroft.exe]

  • перезаписывает все .EXE файлы в директории Windows
  • пытается найти в адресной книге Windows (Windows Address Book) адресата по имени «a» и отправить ему свою копию по электронной почте, затем, если не находит, предлагает пользователю самому выбрать получателя(получателей) зараженного письма.
  • Lara: интернет-червь просит помочь ему с письмами

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике