Исследование

Схема распространения последних версий Gpcode

В ходе проведенного специалистами «Лаборатории Касперского» расследования удалось установить источник распространения «вируса-шантажиста» Gpcode, вызвавшего в последние дни эпидемию в российском сегменте интернета.

Согласно полученной нами информации, схема распространения вируса была следующей:

  1. Изначально была использована спам-рассылка.Первая волна рассылки была проведена 26 мая 2006 года. На несколько тысяч адресов электронной почты российских пользователей было послано письмо следующего содержания:
    Здравствуйте, <имя получателя>!Беспокою Вас относительно Вашего резюме опубликованного на сайте job.ru. У меня есть вакансия, полностью подходящая под Ваше резюме. Фирма ADC Marketing LTD (UK) открывает представительство в Москве и я по поручению руководства решаю соответствующий кадровый вопрос. В ближайшее время я буду готов пригласить Вас на собеседование в любое удобное для Вас время.
    Если Вас интерисует мое предложение заполните несложную анкетку, относящуюся к зарплате, связанную с моей вакансией.
    Результат анкетирования вышлите на мой е-mail.
    Заранее благодарю.

    С уважением, Павлов Виктор, HR-менеджер.

    К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a.

  2. При открытии документа, в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb.
  3. Именно этот троянец и осуществлял загрузку в систему самого Gpcode.Загрузка осуществлялась с адреса [skip].msk.ru/services.txt.

Автор Gpcode осуществлял подобные спам-рассылки в течение нескольких последующих дней. Также им регулярно менялась версия вируса, размещенная по ссылке для загрузки троянцем.

В настоящее время «Лаборатория Касперского» предпринимает усилия по закрытию вредоносного сайта.

Схема распространения последних версий Gpcode

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике