Архив

«Yama» надеется на авось

Yama — интернет-червь, представляющий из себя программу на языке JavaScript и распространяющийся в электронных письмах с помощью MS Outlook и Outlook Express.
Для своего распространения червь использует «дыру» в системе защиты Internet Explorer 5 под названием «Scriptlet.Typelib vulnerability», а также требует некоторого вмешательства (скорее невнимательности) пользователя. В дополнение к JavaScript червь использует также VBS-скрипт, поэтому работоспособен только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При активизации на инфицированном компьютере червь скрытно изменяет стартовую страницу Internet Explorer на страницу web-сайта Geocities, которая в свою очередь содержит внедренный вирусный JavaScript.

Вирус создает ярлык в меню Start и модифицирует ситемный реестр, записывая в него ключ:

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
Runyama=yama.hta

В результате червь загружается при каждом последующем старте Windows.

Червь устанавливает в Outlook/Outlook Express в виде подписи по умолчанию один из следующих файлов, которые содержат URL зараженного сайта, при клике на который внедренный скрипт автоматически выполняется:

yamalauncher.htm
yamalauncher.txt
yamalauncher.rtf

Скрипт также создает на зараженной машине файл C:WINDOWSALAN.HTML и регистрирует его как «обои» Рабочего Стола (Desktop wallpaper).

«Yama» надеется на авось

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике