Архив

Под «заплаткой» для Windows может оказаться троянская программа.

«Лаборатория Касперского» предупреждает пользователей о появлении новой версии интернет-червя I-Worm.Leave, которая распространяется по сети под видом сообщения от Microsoft. Сообщение содержит информацию о дополнении, устраняющем брешь в системе безопасности Windows, однако указанный URL «заплатки» изменен на фиктивный, внешне похожий на сайт компании Microsoft. При его активизации происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. Лаборатория Касперского уже получила несколько сообщений о случаях заражения данной вредоносной программой.

Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000 . При запуске основной компоненты Интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.

Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через Интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.

Так как средства массовой информации уже проявили определенный интерес к новому вредоносному коду, Лаборатория Касперского обращает внимание на следующее. Основные компоненты программы содержат главный пароль троянской программы «SubSeven», поэтому данный вирус проникает только на уже зараженные этим троянцем машины.

Процедуры защиты от Интернет-червя «Leave» уже добавлены в антивирусную базу данных Антивируса Касперского.

Под «заплаткой» для Windows может оказаться троянская программа.

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике