Архив

«Увлекательные» картинки от MyPics

«Лаборатория Касперского» сообщает о появлении в «диком виде» нового Интернет-червя I-Worm.MyPics, использующего приемы печально известного вируса «Мелисса».

Общие характеристики

I-Worm.MyPics является Интернет-червем, распространяющийся по сетям Интернет при помощи электронной почты. Он представляет собой исполняемый Windows-файл с расширением EXE, длиной 34304 байт. «Червь» содержит чрезвычайно опасные деструктивные функции, что может негативно повлиять на работоспособность зараженных компьютеров и сохранность содержащейся на них информации.

Признаки заражения

Обнаружить присутствие «червя» на компьютере можно следующими путями:

  1. просмотреть список активных задач при помощи одновременного нажатия клавиш ALT и TAB. «Червь» присутствует в памяти компьютера под именем «MYPICS»
  2. проверить присутствие в корневом каталоге диска C: файла PICS4YOU.EXE, содержащего копию «червя»
  3. проверить ключ системного реестра HKEY_CURRENT_USER Software Microsoft Office «jpgs2?». В случае присутствия «червя» на компьютере его значение будет «… by sfkwnty».
  4. также проверить наличие следующих ключей системного реестра: SOFTWARE Microsoft Windows CurrentVersion Run «Creative» = «C:Pics4You.exe» SOFTWARE Microsoft WindowsNT CurrentVersion Windows Run «Creative» = «C:Pics4You.exe»

Признаком заражения также является изменение загрузочной (стартовой) страницы Интернет-браузера MS Internet Explorer на

Внедрение в систему

Червь присылается на компьютер в сообщении электронной почты, во вложенном файле «PICS4YOU.EXE». Сообщение имеет пустое поле «Subject», а в теле письма, помимо вложенного файла, содержит текст:

При запуске вложенного файла, «червь» получает управление и остается в памяти Windows как активная задача с именем «MYPICS». Затем он активизирует процедуру внедрения в систему, регистрируя себя в описанных выше ключах системного реестра.

Распространение

Закончив процедуру внедрения, «червь» приступает к распространению своих копий по сети Интернет. Эта особенность подчеркивает его схожесть с обнаруженным в конце марта макро-вирусом «Мелисса». I-Worm.MyPics открывает базу данных почтовой программы Outlook, считывает из ее адресной книги до 50 адресов электронной почты и, незаметно для пользователя, рассылает свои копии этим получателям.

Червь не рассылает свои копии дважды на один и тот же адрес. Для этого он проверяет наличие в системном реестре первого из указанных выше ключей.

Деструктивные функции

Червь имеет крайне опасную процедуру, которая активизируется в 2000 году: в файл C:AUTOEXEC.BAT записываются команды, которые форматируют диски C: и D:. Кроме того, создается и запускается файл C:CBIOS.COM, который портит содержимое CMOS-памяти.

Профилактика и лечение

Ни в коем случае не запускайте файл «PICS4YOU.EXE», содержащийся в сообщениях электронной почты. Помните, что «червь» может содержаться в письмах даже заслуживающих доверия источников, поскольку рассылает свои копии без ведома пользователя.

Обновите антивирусные базы AntiViral Toolkit Pro (AVP). Процедуры обнаружения и удаления I-Worm.MyPics добавлены в очередное еженедельное обновление антивирусных баз.

Техническое описание

«Увлекательные» картинки от MyPics

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике