Архив

LASTWORD.A — болтливый интернет-червь

LASTWORD.A — интернет-червь, распространяющийся при помощи MS Outlook по электронной почте во вложенных в сообщения файлах. Червь рассылает себя по всем адресам пользовательской адресной книги.

При активизации (открытии присоединенного файла), червь копирует себя в каталог Windows под одним из следующих имен:

  • BIHNET.EXE
  • WIN_UPDATE.EXE
  • WIN32_UPDATE.EXE
  • POSTA_UPDATE.EXE

Затем модифицирует системный реестр, обеспечивая себе запуск при каждом последующем старте системы:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
LastWord=C:%windir%%trojanfile%

где %windir% соответствует каталогу Windows, а
%trojanfile% — копии червя.

Помимо этого червь записывает на зараженный компьютер файл OPOMENA.TXT, в котором хранит счетчик числа загрузок инфицированной системы.

Затем червь рассылает себя по всем адресам, хранящимся в адресной книге Outlook. Сообщение червя имеет тему «Vazna informacija!», тело сообщения может быть одним из следующих:

  • Cijenjeni korisnice! Update koji Vam je dosao kao attachment sluzi kao patch da bi ste se zastitili od mnogobrojnih internet crva i virusa!
  • Postovani korisnice! Ovo je novi Update koji ce zastiti Vas kompjuter od internet crva! Da bi instalirali ovaj update molim pokrenite datoteku koja Vam je dosla uz attachment pod imenom
  • Instalirajte ovu datoteku koja ce rijesiti problem TypeLib kod IE_5.0! Unaprijed hvala!

Червь также отсылает на адрес «gargamelaf@yahoo.com» следующее сообщение:

Тема: Raport!
Тело: «…inficirao sam jos jedrog GAZDA!»

Кроме этого, после перезагрузки системы червь каждый раз выдает различные message box-ы, например:

  • после первой перезагрузки:

    Заголовок: WinUpdate 2001
    Тело сообщения: Some errors occurred while system
    tries to update! Please try again!

  • после второй перезагрузки:

    Заголовок: WinUpdate 2001
    Тело сообщения: I said some errors occurred while
    system tries to update! Please update as soon as possible!

  • после третьей перезагрузки:

    Заголовок: WinUpdate’s Last Word!
    Тело сообщения: U shOulD Do tHaT uSer, U shOuLd dO
    thAt UpDatE! …this is My LastWord

    Если пользователь кликнет на кнопку «OK», червь выводит на дисплей следующее сообщение:

    Заголовок: Viva La BiHNet — Bosnia Rulez!
    Тело сообщения: «Predmeti su od drveta I
    kamen naci ces MENE «

    Sto Coruption! When everthing is useless, I have
    to make it My Way! Last Word will be mine…

    Код червя содержит следующий текст:

    Viva La BiHNet
    Bosnia Rulez!

  • LASTWORD.A — болтливый интернет-червь

    Ваш e-mail не будет опубликован.

     

    Отчеты

    Таргетированная атака на промышленные предприятия и государственные учреждения

    Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

    ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

    ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

    Lazarus распространяет протрояненный DeFi-кошелек

    Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

    MoonBounce: скрытая угроза в UEFI

    В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике