Меню контента Закрыть

Инциденты

LoveLetter не умрет никогда

Инциденты

мин. на чтение

Авторы

Обнаружен очередной вариант печально известного Интернет-червя

«Лаборатория Касперского» предупреждает о возможности возникновения эпидемии Интернет-червя «Myba» (aka MYBABYPIC). Служба технической поддержки компании уже получила несколько сообщений от пользователей из США об обнаружении червя в «диком виде».

Червь является EXE-файлом и написан на языке программирования Visual Basic. Части программного кода «Myba» явно заимствованы из червя «LoveLetter»: названия и содержание процедур обоих в некоторых случаях практически полностью совпадают. Таким образом, «Myba» был сначала написан на Visual Basic, а затем скомпилирован в EXE-файл.

Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который и является телом червя. Письмо выглядит следующим образом:

Тема письма: My baby pic !!!
Сообщение в письме: Its my animated baby picture !!
Имя прикрепленного файла: mybabypic.exe

При активизации вложенного файла «Myba» регистрируется в системе и рассылает себя с зараженных компьютеров по всем адресам, найденным в адресной книге почтовой программы MS Outlook. Тема, содержимое письма и имя прикрепленного файла те же, что и в приведенном выше примере.

При внедрении в систему, червь создает в системном каталоге Windows файлы со своими копиями и регистрирует их в системном реестре операционной системы для их автоматического запуска при последующих загрузках компьютера.

«Myba» имеет ряд весьма опасных деструктивных воздействий, способных уничтожить компьютерные данные.

В зависимости от текущей даты и времени червь:

  • включает/выключает NumLock, CapLock и ScrollLock
  • посылает в буфер клавиатуры текст: «.IM_BESIDES_YOU_»
  • открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:
    FROM BUGGER
    HAPPY VALENTINES DAY FROM BUGGER
    HAPPY HALLOWEEN FROM BUGGER

Червь также просматривает содержимое доступных дисков и портит файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2, MP3.

Процедуры защиты от «Myba» уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского.

Авторы

LoveLetter не умрет никогда

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

В той же категории

    • Последние публикации
    Отчеты

    ToddyCat — ваш скрытый почтовый ассистент. Часть 1

    Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.

    Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения

    Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.

    Mem3nt0 mori – Hacking Team снова с нами!

    Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2025.