Архив

«Readme «: в «диком виде» появился новый вирус-червь

I-Worm.Readme (TROJ_APOST.A) — вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к
зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет
размер около 25K, написан на Visual Basic.

Зараженные письма имеют следующий вид:

Заголовок: As per your request!
Имя вложения: README.EXE
Текст:
Please find attached file for your review.
I look forward to hear from you again very soon. Thank you.


Пример сообщения

Червь активизируется только если пользователь сам запускает зараженный файл
(при двойном щелчке на вложении). Затем червь инсталлирует себя в систему,
рассылает зараженные письма и последовательно выводит сообщения:


Пример сообщения


Пример сообщения

При инсталляции червь копирует себя в каталог Windows с именем README.EXE и
регистрирует этот файл в ключе авто-запуска системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
macrosoft = README.EXE

При распространении по электронной почте червь использует функции MS Outlook
и расылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Червь также копирует себя с тем же именем README.EXE в корневые каталоги всех
доступных дисков.

«Readme «: в «диком виде» появился новый вирус-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике