Описание вредоносного ПО

Новая мутация Kelvir

Сегодня мы обнаружили новую разновидность червя семейства IM-Worm.Win32.Kelvir — она получила версию Kelvir.k. Как обычно, Kelvir распространяется с ботом, который мы детектим как Backdoor.Win32.Rbot.gen.

Новый вариант Kelvir использует любопытный метод социального инжиниринга: вместо отправки ссылки на pif- или scr-файл, червь рассылает ссылку на файл с расширением php.

Обработчик php-файлов позволяет добавлять к ним любые цифры и буквы — в виде запросов, после символа «?». Именно это делает Kelvir.k — указывает после php-файла электронный адрес пользователя MSNM.

Например:

Email пользователя №1: some@thing.qqq
Email пользователя №2: other@thing.zzz

Пользователь №1 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=some@thing.qqq

Пользователь №2 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=other@thing.zzz.

Когда пользователь щелкает по ссылке, ему выдается предложение запустить или сохранить файл. Хотелось бы надеяться, что на этом этапе большинство пользователей заподозрят неладное и не станут сразу запускать этот файл.

Однако, как только пользователь щелкает по ссылке, злоумышленники получают адрес его электронной почты. То есть, адрес попадает в спамерские базы даже если сам червь так и остается не активированным.

Вызвана ли эта новая тактика сбора адресов появившимися в MSNM 7 защитными функциями? Не думаю. Пока писался этот текст, мы обнаружили перепакованную версию Kelvir.e. А Kelvir.e для своего размножения использует ссылку на scr-файлы, которые не фильтруются MSNM 7.

Использование социальной инженерии заставляет предположить, что пользователи интернет-пейджеров стали внимательнее относиться к получаемым по ним ссылкам, и создатели подобных червей вынуждены искать пути повышения эффективности механизмов размножения своих творений.

Новая мутация Kelvir

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике