Архив

Троянец «Greetyah» в письмах, маскирующихся под открытки от Yahoo

17 марта 2003 года была произведена массовая рассылка писем со ссылкой на троянскую программу «Greetyah». Троянец загружает из интернета файл и устанавливает его в ключе авто-запуска системного реестра.

Пример рассылаемого письма:

Date: Mon, 17 Mar 2003 14:57:57
From: replymsg@g1.gc.vip.sc5.yahoo.com
To: Ivan Petrov
Subject: Elena_M sent you a Yahoo! Greeting

Yahoo! Greetings
Surprise! You’ve just received a Yahoo! Greeting
from from «Elena_M» (elena_m@mail.ru)!

To view this greeting card, click on the following
Web address at anytime within the next 30 days.


http://view.greetings.yahoo.com/greet/view?
***********

If that doesn’t work, go to http://view.greetings.yahoo.com/pickup
and copy and paste this code:

BJWU37Y2S4A

Enjoy!

The Yahoo! Greetings Team
c 1996-2003 Yahoo! Greetings http://greetings.yahoo.com/

Программа написана на языке ассемблера. Размер файла 3072 байт. После старта программа выводит диалоговое окно:

Затем программа загружает исполняемый файл: sysman32.exe с сайта http://view-greetings-yahoo.com. Файл sysman32.exe содержит код другой троянской программы: Trojan.WebMoney.WMPatch.b

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Greetyah» доступно в Вирусной Энциклопедии Касперского.

Троянец «Greetyah» в письмах, маскирующихся под открытки от Yahoo

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике