LoveLetter не умрет никогда

28 Фев 2001

мин. на чтение

Авторы

Securelist

Обнаружен очередной вариант печально известного Интернет-червя

«Лаборатория Касперского» предупреждает о возможности возникновения эпидемии Интернет-червя «Myba» (aka MYBABYPIC). Служба технической поддержки компании уже получила несколько сообщений от пользователей из США об обнаружении червя в «диком виде».

Червь является EXE-файлом и написан на языке программирования Visual Basic. Части программного кода «Myba» явно заимствованы из червя «LoveLetter»: названия и содержание процедур обоих в некоторых случаях практически полностью совпадают. Таким образом, «Myba» был сначала написан на Visual Basic, а затем скомпилирован в EXE-файл.

Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который и является телом червя. Письмо выглядит следующим образом:

Тема письма: My baby pic !!!
Сообщение в письме: Its my animated baby picture !!
Имя прикрепленного файла: mybabypic.exe

При активизации вложенного файла «Myba» регистрируется в системе и рассылает себя с зараженных компьютеров по всем адресам, найденным в адресной книге почтовой программы MS Outlook. Тема, содержимое письма и имя прикрепленного файла те же, что и в приведенном выше примере.

При внедрении в систему, червь создает в системном каталоге Windows файлы со своими копиями и регистрирует их в системном реестре операционной системы для их автоматического запуска при последующих загрузках компьютера.

«Myba» имеет ряд весьма опасных деструктивных воздействий, способных уничтожить компьютерные данные.

В зависимости от текущей даты и времени червь:

включает/выключает NumLock, CapLock и ScrollLock
посылает в буфер клавиатуры текст: «.IM_BESIDES_YOU_»
открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:
FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER

Червь также просматривает содержимое доступных дисков и портит файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2, MP3.

Процедуры защиты от «Myba» уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского.

Авторы

Securelist

LoveLetter не умрет никогда

Последние публикации

Отчеты

“Лаборатория Касперского” выявила новую кампанию EastWind, нацеленную на российские организации и использующую CloudSourcerer и инструменты APT31 и APT27.

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

LoveLetter не умрет никогда

ФТК: бесплатные предложения не должны служить приманкой

Глобальное исследование утечек за 2009 год

%^ef$g73$5r(@&#!! – несколько слов о шифровании и алгоритмах

Спам-статистика за период 23 – 29 ноября 2009

Глобальное исследование утечек конфиденциальных данных. Первое полугодие 2009

Бэкдор в XZ: анализ перехватчика

Инцидент с XZ Utils: как дошли до жизни такой

История с бэкдором в XZ — первоначальный анализ

Атаки на индустриальный и государственный секторы РФ

Банкер QBot распространяется через деловую переписку

Последние публикации

Насущность снижения рисков: как оценка компрометации помогает укрепить киберзащиту

Lumma/Amadey: запусти шелл-код, чтобы доказать, что ты не робот

Криптовалютная игра от APT Lazarus: инвесторы против уязвимостей нулевого дня

Стилер там, стилер здесь, стилеры везде!

Отчеты

Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Подпишитесь на еженедельную рассылку