Архив

Описание Интернет-червя Kiray

«Лаборатория Касперского» сообщает об обнаружении нового Интренет червя Kiray.

Этот вирус-червь распространяет свои копии через Интернет и поражает компьютеры под управлением Windows. На компьютер он попадает в виде письма со вложенным файлом Kiray.exe.

При запуске червь модифицирует системный реестр следующим образом:


HKCRexefileshellopencommand
«»=»c:windowstempKiray.exe»

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop=1
NoDrives=1

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
NoNetSetup=1

Таким образом червь гарантирует собственный запуск при выполнении любого EXE-файла, а также прячет все значки с «Рабочего стола» Windows и некоторые
диски в «Мой компьютер» после перезагрузки системы.

Затем червь, используя MAPI, рассылает свои копии в виде писем со вложенными файлами. Письма выглядят следующим образом:


Тема: Please make peace not war
Тело письма: The Lamers and Idiots Game
Файл: Kiray.exe

Он так же пытается зачем-то обратиться к адресной книге Windows (Windows Address Book), расположение которой он считывает из ключа системного реестра:


HKEY_CURRENT_USERSoftwareMicrosoftWAB

И в заключение червь пытается удалить все файлы в следующих каталогах:


c:windows*.*
c:windowssystem*.*
c:Program FilesMicrosoft Office*.*
c:Program FilesInternet Explorer*.*

Червь содержит несколько ошибок, которые сильно затрудняют ему существование. Так, распространение по e-mail возможно только в том случае, если почтовый клиент сохраняет временные файлы в каталоге C:WindowsTemp. Червь не может заразить компьютер, если операционная
система установлена в каталог, отличный от C:Windows.

Описание Интернет-червя Kiray

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике