Архив

Осторожно! Резюме!

Очередной вариант вируса «LoveLetter» маскируется под резюме
для найма на работу

«Лаборатория Касперского» сообщает об обнаружении очередного варианта
нашумевшего в мае этого года скрипт-вируса «LoveLetter».
«I-Worm.LoveLetter.bd»,
такое техническое название получил найденный вирус, обнаружен в диком виде.
На данный момент эксперты компании получили несколько сообщений о случаях заражения
в России и Швейцарии.

Вирус использует известный психологический прием, когда пользователю предлагается
ознакомиться с резюме, находящимся во вложенном файле RESUME.TXT.VBS, якобы
от Швейцарской Интернет компании, приглашающей на работу профессионального программиста.
После запуска зараженного файла вирус автоматически открывает текстовый редактор
Notepad (по умолчанию поставляется со всеми версиями операционной системы Windows)
где демонстрирует содержание резюме:

Knowledge Engineer, Zurich

Intelligente Agenten im Internet sammeln Informationen, erkluren Sachverhalte
im
Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen
Produkte.

[skipped]

Одновременно с этим, незаметно для пользователя, вирус получает доступ к почтовой
программе Outlook и, подобно своему оригиналу — «LoveLetter», рассылает
свои копии (вместе с тем же вложенным резюме) по всем адресам из адресной книги
программы.

Отличительной особенностью вируса является его способность «докачивать»
дополнительные вредоносные компоненты из сети Интернет. Однако, это функция
активизируется только в случае, если на компьютере используется программа USB
PIN Объединенного банка Швейцарии «Union Bank of Switzerland» для
осуществления банковских операций через Интернет.

Абсолютно незаметно для пользователя вирус последовательно пытается соединиться
с одним из трех web сайтов, для того, чтобы загрузить троянскую программу. Эта
версия вируса пытается «скачать» файл HCHECK.EXE, в котором находится
«троянец» «Hooker». Он, в свою очередь, собирает на зараженном
компьютере всю информацию о пользователе, включая имя, фамилию, установленное
программное обеспечение, адреса, имена и пароли для входа в Интернет и др.,
а также полностью контролирует все нажатия клавиш на клавиатуре. Позднее, все
эти сведения отсылаются автору вируса на анонимный адрес электронной почты.

Необходимо заметить, что вирус «докачивает» троянскую компоненту
с web сайтов достаточно солидных организаций, которые вовремя не позаботились
о правильном разграничении прав доступа к своим ресурсам. Среди них — Мичиганский
государственный институт и Национальный институт здравоохранения США. По случайности,
на сайтах этих организаций открыт полный доступ как на запись, так и на чтение
файлов в публичной директории. Это дало автору вируса возможность использовать
их для своих криминальных целей.

Для предотвращения заражения данным вирусом пользователи ни в коем случае не
должны запускать вложенный файл RESUME.TXT.VBS, ровно как и другие подозрительные
файлы полученные из неизвестных источников, либо странные файлы от Ваших коллег
или знакомых.

Кроме того, «Лаборатория Касперского» настоятельно рекомендует установить
AVP Script Checker. Эта программа
не требует никаких дополнений антивирусной базы и, в то же время, эффективно
блокирует действие скрипт-вирусов, в том числе семейства «LoveLetter».
«Script Checker является уникальным инструментом перехвата скрипт-вирусов
непосредственно в памяти компьютера. Кроме того, в него внедрен не имеющий аналогов
в мире эвристический механизм защиты от неизвестных вирусов. Благодаря этому,
программа успешно обнаруживает все разновидности «Любовных писем»,
— комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории
Касперского».

Процедуры удаления вируса уже добавлены в очередное ежедневное обновление
антивирусной базы «Антивируса Касперского».

Осторожно! Резюме!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике