Архив

Новый вирус-червь I-Worm.Vote: Не голосуйте за войну!

«Лаборатория Касперского», российский лидер в области информационных систем безопасности, сообщает об обнаружении нового интернет-червя Vote.

Вирус проникает на удаленные компьютеры через почтовую программу Microsoft’s Outlook в виде письма, озаглавленного «Peace between America and Islam!» («Да будет мир между Америкой и Исламом!»). Прилагаемый к письму файл является программой, якобы позволяющей всем желающим проголосовать за или против войны между США и исламским терроризмом, само письмо гласит:»Hi. Is it a war against America or Islam!? Let’s vote to live in peace!» («Привет. Быть войне между Америкой и Исламом? Давайте проголосуем за мир!»).

Вирус-червь начнет свою работу только в том случае, если пользователь сам откроет вложение с названием «WTC.exe» (очередная спекуляция на тему недавних террактов в Америке). Если это произошло, то последовательность дальнейших действий вируса такова: сначала рассылаются инфицированные послания всем адресатам из Microsoft’s Outlook Address Book. Далее, на экране появляются два окна Интернет-браузера (сайты, на которые вели предлагаемые ссылки в данный момент уже закрыты). При этом стартовой страницей Internet Explorer автоматически становится один из вышеупомянутых сайтов.

Червь создает два VBS-файла. Первый из них, «MixDaLaL.vbs», попадает в папку Windows и сразу же запускается. Файл содержит скритп-программу, которая инициирует поиск всех файлов, имеющих расширение HTM и HTML, на сменных и локальных жестких дисках. Обнаружив эти файлы, вирус их переписывает, заменяя все содержимое на следующий текст:

AmeRiCa …Few Days WiLL Show You What We Can Do !!! It’s Our Turn >>> ZaCkEr is So Sorry For You . (AмеРиКа… Через несколько дней ты увидишь, на что мы способны!!! Наша
очередь пришла>>> ЗаКеру вас очень жаль.).

Второй VSB-файл червь создает в системном каталоге Windows под именем «ZaCker.vbs». Он регистрируется в секции автозапуска системного реестра Windows и автоматически начнет свою работу при перезапуске компьютера.
Когда Windows будет запущен в следующий раз, червь удалит все файлы из директории Windows, а в AUTOEXEC.BAT запишет команду, которая уничтожит все данные на диске С.
Затем на экран выведется сообщение:
«I promiss We WiLL Rule The World Again…By The Way,You Are Captured By ZaCker !!!» («Я обещаю, мы будем править миром опять…Кстати, вы атакованы ЗаКером!!!»).

И наконец, червь попытается перезагрузить компьютер. После перезагрузгрузки все данные могут быть потеряны безвозвратно.

Подробное описание червя Вы можете найти здесь.

Новый вирус-червь I-Worm.Vote: Не голосуйте за войну!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике