Архив

Появился очередной макро-вирус Suppl

Компания Network Associates опубликовала предупреждение о появлении нового вируса, получившего название Suppl. Он представляет собой один из вариантов макро-вируса для Word-файлов. Вирус был обнаружен «патрульной» антивирусной службой AVERT компании Network Associates. Это программа сканирования групп новостей, которая круглосуточно ведет автоматический поиск новых вирусов.

По сообщению Network Associates, вирус Suppl распространяется по электронной почте. Попав на компьютер пользователя, он отслеживает отсылаемые почтовые сообщения и прикрепляет ко всем исходящим письмам зараженный документ «suppl.doc». Если получатель откроет его, то увидит пустой экран, а машина будет уже заражена. Через 163 часа после заражения компьютера вирус начинает «обнулять» все файлы на жестком диске, имеющие расширения .doc, .xls, .txt, .rtf, .dbf, .zip, .arj, и .rar (их размер становится равным 0 байт).

Вирус записывает в каталог Windows три файла — WININIT.INI, DLL.LZH и ANTHRAX.INI, а затем автоматически распаковывает архивный файл DLL.LZH в DLL.TMP. Содержимое нового файла WININIT.INI дает команду операционной системе заменить имеющийся файл WSOCK32.DLL на WSOCK33.DLL и переименовать файл DLL.TMP в WSOCK32.DLL. В новом файле WSOCK32.DLL содержатся инструкции по прикреплению ко всей исходящей почте файла suppl.doc и обнуления всех файлов с вышеуказанными расширениями через 163 часа после заражения.

Средство от вируса Suppl компания Network Associates опубликовала на своем Web-сайте

.

Совет пользователям как всегда один — не открывать прикрепленный к письму файл suppl.doc, да и вообще все подозрительные сообщения, пришедшие из незнакомых источников.

Появился очередной макро-вирус Suppl

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике