Архив

Появился новый опасный интернет-червь — VBS/PLAN.A

Компания Computer Associates предупреждает компьютерных пользователей о появлении нового вируса-червя, распространяющегося по e-mail. Червь написан на языке visual basic script (VBS) и посылает себя по электронной почте, используя Microsoft Outlook, по всем адресам, обнаруженным в адресной книге.

Этот червь по своему написанию и действию подобен печально известному вирусу «ILOVEYOU», причинившему огромный ущерб компьютерам во всем мире. Вирус VBS/PLAN.A обнаружен в «диком» виде, и по словам специалистов Computer Associates несет в себе опасный потенциал — червь может перегружать почтовые серверы, что в свою очередь способно привести к «отказу в обслуживании» (denial of service).

Червь прибывает по e-mail в присоединенном файле. Пример темы сообщения:

US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=

Сообщение содержит текст:

VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES.

Тема и текст сообщения, однако, представляют собой случайным образом сгенеренные текстовые строки и, соответственно, могут выглядеть и по-другому. Имя присоединенного файла, также беспорядочно сгенеренное, имеет одно из расширений: «.GIF.vbs», «.BMP.vbs» или «.JPG.vbs».

Все файлы с расширениями .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg и .jpeg червь заменяет на свои копии с расширением «VBS». MP3 и MP2 файлы будут помечены червем как скрытые («hidden»), а вместо них будут размещены копии червя с теми же именами файлов, но с VBS расширением.

Ко всему прочему 17 сентября VBS/PLAN.A выдает следующее сообщение:

Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. (M.H.M. TEAM).

и затем отсоединяет от сети все сетевые диски.

Червь также пытается скачать по интернет следующие три файла:

macromedia32.zip, linux321.zip and linux322.zip.


VL-Комментарий

Забота о пользователях — это похвально, но быть может стоит, наконец, господам программистам из CA больше уделять внимания принципам работы вирусов, чтобы не писать каждый раз обновления, если вдруг появится мало-мальски новый клон давно известного вируса? К слову, AVP ловит и уничтожает данного злодея (PLAN.A), не нуждаясь в каком-либо обновлении…

Как сказал Евгений Касперский, — «AVP поймал PLAN.A еще до того, как вирус был написан…» :)))

Появился новый опасный интернет-червь — VBS/PLAN.A

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике