Архив

W32/Choke.worm засоряет MSN Messenger

W32/Choke.worm — это второй вирус-червь после W32/Hello.worm, распространяющийся исключительно посредством MSN Messenger. Червь представляет собой приложение, написанное на Visual Basic.
Если на компьютере MSN Messenger не установлен, то червь инсталлирует себя, но распространяться, естественно, не сможет.

Червь попадает на машину в виде присоединенного к сообщению файла под различными именами, но всегда с разширением .EXE. Имена вложений могут быть следующими:

ShootPresidentBUSH.exe
Choke.exe
[имя отправителя].exe
Hotmail.exe

При активизации (открытии пользователем вложенного файла) червь выводит на дисплей message box с заголовком «Choke» и текстом:

«This program needs Flash 6.5 to run!»

При клике пользователя на кнопку «OK» появляется следующее окно с заголовком «Run time error» и текстом:

«Cannot run program!, Quiting»

Затем червь копирует себя в корневую директорию текущего жесткого диска инфицированного компьютера в виде трех файлов:

  • «CHOKE.EXE»,
  • [имя домена аккаунта MSN Messenger].EXE (например, HOTMAIL.EXE),
  • [имя пользователя MSN Messenger].EXE (например, JOHN.EXE).

    Червь также создает текстовый файл с именем «ABOUT.TXT», содержащий следующий текст:

    Choke , Copyright ╝ 1886 … A MAD CHRISTIAN

    —————————————

    Go talk swearwords about God

    You all will die, stupid humans.

    You fools didn’t see what you have done

    Bye slut, go talk shit about me.

    (Call me a ‘psychophatt’, but I respect the Creator of life…)

    ‘ Consider your earth

    Помимо прочего, червь модифицирует системный реестр, добавляя следующий ключ в секцию авто-запуска, чтобы обеспечить свое выполнение при каждом последующем старте системы:

    HKCUSoftwareMicrosoftWindowsCurrentVersion
    RunChoke=»C:choke.exe -blahhh»

  • W32/Choke.worm засоряет MSN Messenger

    Ваш e-mail не будет опубликован.

     

    Отчеты

    Таргетированная атака на промышленные предприятия и государственные учреждения

    Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

    ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

    ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

    Lazarus распространяет протрояненный DeFi-кошелек

    Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

    MoonBounce: скрытая угроза в UEFI

    В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике