Архив

Обнаружен новый макро-вирус для Word97 — «Thus.aa»

«Лаборатория Касперского» сообщает о появлении новой модификации вируса Thus, получившей название Macro.Word97.Thus.aa.

Эта модификация распространяется таким же образом что и первоначальный вариант вируса. После заражения документа вирус случайным образом выбирает на диске компьютера файл и сохраняет зараженный документ с тем же именем, но расширением «.DOC». На диске получаются два файла с одинаковым именем но разными расширениями. Если расширение найденного вирусом файла было тоже «.DOC», этот файл будет переписан вирусом а все данные из файла потеряны.

Так как алгоритм шифровки данных, используемый вирусом, обратим, все зашифрованные данные возможно восстановить за исключением одного байта в конце зашифрованного блока, который вирус портит необратимо. Программу для
восстановления зашифрованных вирусом файлов можно получить выслав запрос на адрес электронной почты службы поддержки AVP.

Каждый раз, активизировавшись при открытии, закрытии или создании документа, вирус случайным образом выбирает один файл на локальном диске компьютера и шифрует первые 32 килобайта данных в нем. Таким образом вирус портит данные
пользователя и программные файлы и со временем система может просто перестать работать.

Чтобы скрыть свое присутствие вирус использует специальные приемы. При выборе пункта меню «Tools/Macro» а также при попытке вызвать редактор Visual Basic вирус выводит на экран сообщение:

File VBADLG.DLL not found

При выборе пункта меню «Tools/Templates and Add-ins…» вирус выводит на экран сообщение:

Global template not loaded

Обнаружен новый макро-вирус для Word97 — «Thus.aa»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике