Izplatās inficēti e-pasti, kas pielikumā satur kaitīgu .CHM dokumentu

Brīdinām par inficētu e-pastu izplatību, kas noformēti kā rēķini. Šādi e-pasti pielikumā satur kaitīgu .CHM dokumentu un visbiežāk tiek izsūtīti telekomunikāciju pakalpojumu sniedzēju vārdā. Ja saņemts e-pasts ar šādu pielikumu, nekādā gadījumā neveriet to vaļā.

Faila paplašinājums .chm ir Microsoft tiešsaistes palīdzības failu formāts, kas satur HTML lapas, indeksāciju un citus navigācijas rīkus. Šajā gadījumā failā ir ievietots vīruss.

E-pasta teksts parasti ir pārsūtīts paziņojums par rēķinu, taču, atverot e-pastam pievienoto dokumentu, dators tiek inficēts ar vīrusu, kura mērķis ir pārņemt kontroli pār lietotāja datoru. Datorvīrusu pagaidām atpazīst tikai daļa antivīrusu programmatūras (saraksts pieejams šeit: https://www.virustotal.com/lv/file/57acd2c721fceb2616b3efa2696407df07cc3473797cb663b051cb925aeeea5c/analysis/).

Ja esat saņēmuši šādu e-pastu un atvēruši pielikumu, aicinām nekavējoties vērsties pēc palīdzības pie datorspeciālista.

Vīruss ietekmē datorus, kas izmanto Microsoft Windows Vista un jaunākas versijas.

CERT.LV informēs sabiedrību, ja uzbrukuma kampaņa vērsīsies plašumā.

Tehniskā informācija

Vīruss iekopē savu .exe failu ar 14 simbolus garu nejauši ģenerētu nosaukumu direktorijā Windows\System32

Lai apgrūtinātu atrašanu, vīruss faila izveides laiku nomaina uz operētājsistēmas standarta faila kernel32.dll izveides datumu un pievieno tā izpildei nepieciešamo ierakstu reģistru zarā "HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run".

Vairāk informācijas: http://blog.checkpoint.com/2015/05/12/the-microsoft-help-file-chm-may-enslave-you/

Komand- un kontrolcentru saraksts atrodams šeit.