Меню контента Закрыть

Архив

W32/Fever: помогите, кто чем может, не сочтите за труд…

Архив

мин. на чтение

Авторы

Две антивирусные компании сообщили о появлении нового вируса-червя под названием W32/Fever, заражающего системы под управлением Win32. Червь работоспособен под Windows 95/98/Me, Windows NT и Windows 2000.

По сообщению Sophos червь копирует себя в системный каталог Windows в виде файла с именем «gp32.exe» и создает в системном реестре ключ:

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices = «gp32.exe»

таким образом программа червя будет выполняться в фоновом режиме каждый раз при старте системы.

McAfee же утверждает, что червь копирует себя в системный каталог Windows в виде файла с именем «ed32.exe» и создает в системном реестре ключ:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunServicesed32=C:WINDOWSSYSTEMed32.EXE

Sophos не конкретизирует информацию о том, как червь попадает на компьютер и каким образом распространяет себя.

По сообщению McAfee червь прибывает в письме, имеющем следующие характеристики:

Тема: pic.gif [много пробелов].scr
Вложение: pic.gif.scr

Сообщение червя (тело и заголовок) представляет собой текст в MIME-формате и аттачмент — в кодировке base64. Присоединенный файл не способен в этом состоянии активизироваться автоматически (т.е. при клике на него пользователем) и, следовательно, не сможет инфицировать систему до тех пор, пока пользователь не сохранит аттачмент на локальном диске своего компьютера и затем запустит его вручную. В связи с тем, что для запуска этого червя необходимо произвести такие манипуляции, риск заражения им компьютера невелик, все зависит от настырности пользователя и его желания поэкспериментировать.

При активизации червь инфицирует систему, сохраняя свою копию в системном каталоге Windows и модифицируя системный реестр, чтобы обеспечить свое выполнение при каждом последующем старте системы.

Всякий раз при отправке пользователем инфицированного компьютера сообщения по электронной почте червь следом по тому же адресу отправляет свое письмо (с теми же характеристиками, что описано выше).
Червь предпринимает попытки использовать уязвимость под названием «Incorrect MIME Header vulnerability», изменяя MIME-заголовок на некорректный (см. «Microsoft закрывает новую лазейку в Internet Explorer»).

Авторы

W32/Fever: помогите, кто чем может, не сочтите за труд…

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

В той же категории

    • Последние публикации
    Отчеты

    ToddyCat — ваш скрытый почтовый ассистент. Часть 1

    Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.

    Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения

    Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.

    Mem3nt0 mori – Hacking Team снова с нами!

    Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2025.