Архив

Новый вирус-червь I-Worm.Vote: Не голосуйте за войну!

«Лаборатория Касперского», российский лидер в области информационных систем безопасности, сообщает об обнаружении нового интернет-червя Vote.

Вирус проникает на удаленные компьютеры через почтовую программу Microsoft’s Outlook в виде письма, озаглавленного «Peace between America and Islam!» («Да будет мир между Америкой и Исламом!»). Прилагаемый к письму файл является программой, якобы позволяющей всем желающим проголосовать за или против войны между США и исламским терроризмом, само письмо гласит:»Hi. Is it a war against America or Islam!? Let’s vote to live in peace!» («Привет. Быть войне между Америкой и Исламом? Давайте проголосуем за мир!»).

Вирус-червь начнет свою работу только в том случае, если пользователь сам откроет вложение с названием «WTC.exe» (очередная спекуляция на тему недавних террактов в Америке). Если это произошло, то последовательность дальнейших действий вируса такова: сначала рассылаются инфицированные послания всем адресатам из Microsoft’s Outlook Address Book. Далее, на экране появляются два окна Интернет-браузера (сайты, на которые вели предлагаемые ссылки в данный момент уже закрыты). При этом стартовой страницей Internet Explorer автоматически становится один из вышеупомянутых сайтов.

Червь создает два VBS-файла. Первый из них, «MixDaLaL.vbs», попадает в папку Windows и сразу же запускается. Файл содержит скритп-программу, которая инициирует поиск всех файлов, имеющих расширение HTM и HTML, на сменных и локальных жестких дисках. Обнаружив эти файлы, вирус их переписывает, заменяя все содержимое на следующий текст:

AmeRiCa …Few Days WiLL Show You What We Can Do !!! It’s Our Turn >>> ZaCkEr is So Sorry For You . (AмеРиКа… Через несколько дней ты увидишь, на что мы способны!!! Наша
очередь пришла>>> ЗаКеру вас очень жаль.).

Второй VSB-файл червь создает в системном каталоге Windows под именем «ZaCker.vbs». Он регистрируется в секции автозапуска системного реестра Windows и автоматически начнет свою работу при перезапуске компьютера.
Когда Windows будет запущен в следующий раз, червь удалит все файлы из директории Windows, а в AUTOEXEC.BAT запишет команду, которая уничтожит все данные на диске С.
Затем на экран выведется сообщение:
«I promiss We WiLL Rule The World Again…By The Way,You Are Captured By ZaCker !!!» («Я обещаю, мы будем править миром опять…Кстати, вы атакованы ЗаКером!!!»).

И наконец, червь попытается перезагрузить компьютер. После перезагрузгрузки все данные могут быть потеряны безвозвратно.

Подробное описание червя Вы можете найти здесь.

Новый вирус-червь I-Worm.Vote: Не голосуйте за войну!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике