Архив

Обнаружен новый макро вирус OF97/Cybernet-A

Компания Sophos в «диком» виде обнаружила новый макро вирус, заражающий документы MS Word и Excel, который получил имя Cybernet-A.

Интересен тот факт, что несмотря на то, что Cybernet-A явяется макро вирусом, он распространяет себя, используя, столь любимый всеми вирусами, MS Outlook. Для рассылки зараженных писем используются все адресаты из почтовой базы.

Как отличить зараженное Cybernet-A письмо

Почтовое сообщение, содержащее вирус, имеет тему:

«You’ve GOT Mail !!!»

и содержит следующий текст:

«Please, saved the document after you read and don’t
show to anyone else. The document is also VIRUS
FREE…so DISREGARD the virus protection warning !!!».

В теле вируса содержится следующий комметарий:

‘W97M/CyberNET (C)2000 — Indonesia By AnomOke!

«I’m NOT Responsible For Any Damage That

Posible Cause By My Virus…!!!»‘.

Деструктивные действия

Вирус предпринимает попытки определить, используются ли на компьютере жертвы антивирусные сканеры, и, при этом, данный паразит выводит на экран следующие сообщения (в зависимости от того, какой антивирус он нашел):

‘anti-heuristic for stupid Norton antivirus scanner’

‘анти-эвристика для глупого антивирусного Norton-сканера’

‘anti-heuristic for stupid McAfee antivirus scanner’

(‘анти-эвристика для глупого антивирусного McAfee-сканера’)

17 августа и 25 декабря вирус пытается активно пакостить:

  1. Заполняет открытый документs MS Word и Excel случайным числом векторных фигур (наподобие, как Melissa)
  2. Вставляет в AUTOEXEC.BAT команду форматирования диска C: и добавляет комментарии, в которых выражает саболезнование по поводу своих действий:
  3. Модифицирует системный файл CONFIG.SYS
  4. А напоследок выводит окно с сообщением:
    Сообщение вируса
    И, если пользователь нажимает на кнопку OK, перегружает компьютер.
Техническое описание от «Лаборатории Касперского»

Обнаружен новый макро вирус OF97/Cybernet-A

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике