Архив

«Yama» надеется на авось

Yama — интернет-червь, представляющий из себя программу на языке JavaScript и распространяющийся в электронных письмах с помощью MS Outlook и Outlook Express.
Для своего распространения червь использует «дыру» в системе защиты Internet Explorer 5 под названием «Scriptlet.Typelib vulnerability», а также требует некоторого вмешательства (скорее невнимательности) пользователя. В дополнение к JavaScript червь использует также VBS-скрипт, поэтому работоспособен только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При активизации на инфицированном компьютере червь скрытно изменяет стартовую страницу Internet Explorer на страницу web-сайта Geocities, которая в свою очередь содержит внедренный вирусный JavaScript.

Вирус создает ярлык в меню Start и модифицирует ситемный реестр, записывая в него ключ:

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
Runyama=yama.hta

В результате червь загружается при каждом последующем старте Windows.

Червь устанавливает в Outlook/Outlook Express в виде подписи по умолчанию один из следующих файлов, которые содержат URL зараженного сайта, при клике на который внедренный скрипт автоматически выполняется:

yamalauncher.htm
yamalauncher.txt
yamalauncher.rtf

Скрипт также создает на зараженной машине файл C:WINDOWSALAN.HTML и регистрирует его как «обои» Рабочего Стола (Desktop wallpaper).

«Yama» надеется на авось

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике