Архив

Обнаружен новый макро вирус OF97/Cybernet-A

Компания Sophos в «диком» виде обнаружила новый макро вирус, заражающий документы MS Word и Excel, который получил имя Cybernet-A.

Интересен тот факт, что несмотря на то, что Cybernet-A явяется макро вирусом, он распространяет себя, используя, столь любимый всеми вирусами, MS Outlook. Для рассылки зараженных писем используются все адресаты из почтовой базы.

Как отличить зараженное Cybernet-A письмо

Почтовое сообщение, содержащее вирус, имеет тему:

«You’ve GOT Mail !!!»

и содержит следующий текст:

«Please, saved the document after you read and don’t
show to anyone else. The document is also VIRUS
FREE…so DISREGARD the virus protection warning !!!».

В теле вируса содержится следующий комметарий:

‘W97M/CyberNET (C)2000 — Indonesia By AnomOke!

«I’m NOT Responsible For Any Damage That

Posible Cause By My Virus…!!!»‘.

Деструктивные действия

Вирус предпринимает попытки определить, используются ли на компьютере жертвы антивирусные сканеры, и, при этом, данный паразит выводит на экран следующие сообщения (в зависимости от того, какой антивирус он нашел):

‘anti-heuristic for stupid Norton antivirus scanner’

‘анти-эвристика для глупого антивирусного Norton-сканера’

‘anti-heuristic for stupid McAfee antivirus scanner’

(‘анти-эвристика для глупого антивирусного McAfee-сканера’)

17 августа и 25 декабря вирус пытается активно пакостить:

  1. Заполняет открытый документs MS Word и Excel случайным числом векторных фигур (наподобие, как Melissa)
  2. Вставляет в AUTOEXEC.BAT команду форматирования диска C: и добавляет комментарии, в которых выражает саболезнование по поводу своих действий:
  3. Модифицирует системный файл CONFIG.SYS
  4. А напоследок выводит окно с сообщением:
    Сообщение вируса
    И, если пользователь нажимает на кнопку OK, перегружает компьютер.
Техническое описание от «Лаборатории Касперского»

Обнаружен новый макро вирус OF97/Cybernet-A

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике