Архив

Снова ZippedFiles! Вторая волна эпидемии опасного Интернет-червя

Обнаружена новая разновидность ставшего печально известным в начале июня этого года Интернет-червя I-Worm.ZippedFiles. Ряд компаний из США уже сообщили о проникновении «червя» в их компьютерные системы.

Новая версия, I-Worm.ZippedFiles.Packed ничем не отличается от предыдущей кроме того, что вложенный файл, содержащий код червя, упакован программой сжатия Neolite.

Распространение

«Червь» незаметно для пользователя рассылает свои копии при помощи популярных почтовых программ Microsoft Outlook, Outlook Express и т.д. Зараженное сообщение электронной почты содержит вложенный зараженный файл
Адреса получателей этого письма «червь» «выдергивает» из полученных ранее и не прочитанных сообщений, находящихся в папке «Входящие» («InBox») на зараженном компьютере. Таким образом, опасное сообщение может прийти даже от хорошо знакомых людей.

При запуске вложенного файла ZIPPED_FILES.EXE на экране появляется предупреждающее окно диалога с сообщением о якобы произошедшей ошибке распаковки архива.

Внедрение

Внедряясь в систему, «червь» прописывает себя двумя путями. Или под именем EXPLORE.EXE в системный каталог Windows (c:windowssystem), или как _SETUP.EXE в каталоге Windows (c:windows). В обоих случаях «червь» добавляет запуск этих программ в конфигурационный файл WIN.INI (команда «run=»).

Обнаружение

«Червь» имеет одну характерную особенность, позволяющую легко узнать о его присутствии на компьютере. Данные о его работе присутствуют в списке задач Windows, вызываемом посредством нажатия комбинации клавиш Ctrl-Alt-Del.

Деструктивное действие

При запуске ZIPPED_FILES.EXE, «червь» просматривает диски от C: до Z: и уничтожает данные в файлах с расширениями DOC, XLS, PPT, ASM, C, HA. Уничтоженные данные восстановлению не подлежат.

Методы защиты

Для недопущения проникновения данного Интернет-червя на Ваш компьютер достаточно не запускать вложенный файл ZIPPED_FILES.EXE.

Техническое описание

Пользователи AntiViral Toolkit Pro (AVP) могут бесплатно получить внеочередное дополнение к антивирусной базе, содержащее процедуры обнаружения и удаления I-Worm.ZippedFiles.Packed.

Снова ZippedFiles! Вторая волна эпидемии опасного Интернет-червя

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике