Архив

Обнаружен новый макро вирус OF97/Cybernet-A

Компания Sophos в «диком» виде обнаружила новый макро вирус, заражающий документы MS Word и Excel, который получил имя Cybernet-A.

Интересен тот факт, что несмотря на то, что Cybernet-A явяется макро вирусом, он распространяет себя, используя, столь любимый всеми вирусами, MS Outlook. Для рассылки зараженных писем используются все адресаты из почтовой базы.

Как отличить зараженное Cybernet-A письмо

Почтовое сообщение, содержащее вирус, имеет тему:

«You’ve GOT Mail !!!»

и содержит следующий текст:

«Please, saved the document after you read and don’t
show to anyone else. The document is also VIRUS
FREE…so DISREGARD the virus protection warning !!!».

В теле вируса содержится следующий комметарий:

‘W97M/CyberNET (C)2000 — Indonesia By AnomOke!

«I’m NOT Responsible For Any Damage That

Posible Cause By My Virus…!!!»‘.

Деструктивные действия

Вирус предпринимает попытки определить, используются ли на компьютере жертвы антивирусные сканеры, и, при этом, данный паразит выводит на экран следующие сообщения (в зависимости от того, какой антивирус он нашел):

‘anti-heuristic for stupid Norton antivirus scanner’

‘анти-эвристика для глупого антивирусного Norton-сканера’

‘anti-heuristic for stupid McAfee antivirus scanner’

(‘анти-эвристика для глупого антивирусного McAfee-сканера’)

17 августа и 25 декабря вирус пытается активно пакостить:

  1. Заполняет открытый документs MS Word и Excel случайным числом векторных фигур (наподобие, как Melissa)
  2. Вставляет в AUTOEXEC.BAT команду форматирования диска C: и добавляет комментарии, в которых выражает саболезнование по поводу своих действий:
  3. Модифицирует системный файл CONFIG.SYS
  4. А напоследок выводит окно с сообщением:
    Сообщение вируса
    И, если пользователь нажимает на кнопку OK, перегружает компьютер.
Техническое описание от «Лаборатории Касперского»

Обнаружен новый макро вирус OF97/Cybernet-A

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике