Инциденты

Apology: извините за беспокойство

Sophos сообщает о появлении в «диком виде» нового Win32-вируса под названием Apology (alias: I-Worm.MTX). Вирус содержит компоненты email-червя и backdoor .

Вирус замещает файл wsock32.dll модифицированной версией, которая отслеживает сетевой трафик. Когда вирус обнаруживает, что пользователь послал письмо по электронной почте, он перехватывает адрес получателя и посылает по нему свое письмо, в котором тело сообщения — пустое, а к письму присоединен один из следующих файлов:

README.TXT.pif
I_wanna_see_YOU.TXT.pif

MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif

NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif

TIAZINHA.JPG.pif

FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif

NEW_NAPSTER_site.TXT.pif

METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif

WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_a bout_yesterday.DOC.pif
Protect_your_credit.HTML.pif

JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Вирус также пытается заблокировать доступ к web-сайтам различных антивирусных компаний, а также посылку электронной почты в эти компании с зараженного компьютера.

Backdoor-компонента вируса пытается соединиться с каким-то web-сайтом и загрузить другие вирусные компоненты.

Apology: извините за беспокойство

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике