Архив

Не все, что начинается с WWW и заканчивается COM — Web-сайты

«Лаборатория Касперского» сообщает об обнаружении нового Интернет-червя «Myparty», распространяющегося по электронной почте. На данный момент уже зарегистрировано несколько инцидентов заражения данной вредоносной программой.

Червь доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты. Данный файл является Windows-приложением размером около 30 килобайт, написанным на языке программирования Microsoft Visual C++ и упакованным утилитой сжатия UPX.

Зараженные письма выглядят следующим образом:

Имя вложения: www.myparty.yahoo.com

Как видно, файл-носитель искусно замаскирован под адрес Web-сайта. Тонкий расчет сделан на уверенность пользователя, что при двойном щелчке на вложении он попадет на некий адрес с сети Интернет. Однако на самом деле, при его запуске на компьютере активизируется вредоносная программа.

«Это действительно новая техника манипуляции сознанием пользователя, исключительно благодаря которой «Myparty» вызвал ряд заражений. В остальном — это классический Интернет-червь, ничем не отличающийся от сотен себе подобных созданий, — комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского», — Этот случай еще раз подтверждает, что не все, что начинается с www и заканчивается com — Web-сайты».

Если системная дата компьютера попадает в период 25-29 января 2002 г., то «Myparty» запускает процедуры инсталляции и распространения. Кроме того, червь проверяет наличие поддержки русского языка и, если таковая обнаружена, завершает свою работу и самоустраняется из системы.

Для обеспечения своего присутствия в памяти при каждой перезагрузке зараженного компьютера, червь создает свои копии в различных директориях диска и регистрирует их в разделе автозапуска программ системного реестра.

Для рассылки своих копий по электронной почте «Myparty» сканирует базы данных Адресной Книги Windows (WAB-файлы) и DBX-файлы (также используются в Outlook Express), и считывает из них все найденные адреса. После этого червь устанавливает прямое подключение с удаленным SMTP-сервером и незаметно, якобы от имени владельца зараженного компьютера, рассылает по этим адресам свои копии. Для подтверждения факта заражения также отсылается пустое письмо на адрес «napster@gala.net».

«Myparty» имеет опасное побочное действие. На компьютерах с Windows NT/2000/XP червь устанавливает программу-шпиона для удаленного несанкционированного управления. Таким образом, злоумышленник может получить полный контроль над компьютером жертвы.
Кроме того, в зависимости от ряда условий «Myparty» открывает Web-сайт http://www.disney.com в окне текущего Интернет-браузера.

Процедуры защиты от «Myparty» уже добавлены в базу данных Антивируса Касперского.

Более подробное описание данного Интернет-червя доступно в Вирусной Энциклопедии Касперского.

Не все, что начинается с WWW и заканчивается COM — Web-сайты

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике