Архив

W32/Fever: помогите, кто чем может, не сочтите за труд…

Две антивирусные компании сообщили о появлении нового вируса-червя под названием W32/Fever, заражающего системы под управлением Win32. Червь работоспособен под Windows 95/98/Me, Windows NT и Windows 2000.

По сообщению Sophos червь копирует себя в системный каталог Windows в виде файла с именем «gp32.exe» и создает в системном реестре ключ:

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices = «gp32.exe»

таким образом программа червя будет выполняться в фоновом режиме каждый раз при старте системы.

McAfee же утверждает, что червь копирует себя в системный каталог Windows в виде файла с именем «ed32.exe» и создает в системном реестре ключ:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunServicesed32=C:WINDOWSSYSTEMed32.EXE

Sophos не конкретизирует информацию о том, как червь попадает на компьютер и каким образом распространяет себя.

По сообщению McAfee червь прибывает в письме, имеющем следующие характеристики:

Тема: pic.gif [много пробелов].scr
Вложение: pic.gif.scr

Сообщение червя (тело и заголовок) представляет собой текст в MIME-формате и аттачмент — в кодировке base64. Присоединенный файл не способен в этом состоянии активизироваться автоматически (т.е. при клике на него пользователем) и, следовательно, не сможет инфицировать систему до тех пор, пока пользователь не сохранит аттачмент на локальном диске своего компьютера и затем запустит его вручную. В связи с тем, что для запуска этого червя необходимо произвести такие манипуляции, риск заражения им компьютера невелик, все зависит от настырности пользователя и его желания поэкспериментировать.

При активизации червь инфицирует систему, сохраняя свою копию в системном каталоге Windows и модифицируя системный реестр, чтобы обеспечить свое выполнение при каждом последующем старте системы.

Всякий раз при отправке пользователем инфицированного компьютера сообщения по электронной почте червь следом по тому же адресу отправляет свое письмо (с теми же характеристиками, что описано выше).
Червь предпринимает попытки использовать уязвимость под названием «Incorrect MIME Header vulnerability», изменяя MIME-заголовок на некорректный (см. «Microsoft закрывает новую лазейку в Internet Explorer»).

W32/Fever: помогите, кто чем может, не сочтите за труд…

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике