Описание вредоносного ПО

«Badtrans» может парализовать каналы передачи данных

«Лаборатория Касперского» предупреждает пользователей об обнаружении в «диком виде» нового Интернет-червя «Badtrans», особенности распространения которого могут поставить под угрозу нормальное функционирование почтовых серверов. «Лаборатория Касперского» уже получила несколько сообщений о фактах обнаружения вируса в «диком» виде.

Данный червь представляет собой исполняемый файл формата PE EXE длиной около 13 Кб (в сжатом виде). Он заражает компьютеры под управлением Windows 95/98/ME/NT/2000.

«Badtrans» имеет многокомпонентную структуру и состоит из трех взаимосвязанных частей: «дроппера», обеспечивающего внедрение в систему, червя для распространения по электронной почте, и троянской компоненты, которая позволяет удаленному пользователю похищать с зараженных компьютеров конфиденциальную информацию.

Червь доставляется на компьютер жертвы в виде сообщения электронной почты, имеющего строку «Take a look to the attachment» в теле письма и вложенный файл, имя которого случайным образом выбирается из встроенного в тело червя списка.

Помимо организации утечки конфиденциальной информации, червь, при определенных условиях, может вызвать другой побочный эффект, результатом которого является существенное увеличение почтового трафика между зараженными машинами и, в некоторых случаях, даже «падение» почтовых серверов.
В принципе, червь применяет специальные действия, чтобы не отвечать на одно и то же письмо дважды и чтобы не отвечать на собственные письма. Для этого он записывает в конец поля «Тема» два пробела (маркер, по которому червь опознает свои письма).

Однако, это не всегда срабатывает. Большинство почтовых серверов удаляют пробелы в конце поля «Тема» и, таким образом, червь не в состоянии опознать собственные письма и, естественно, отвечает на них. В результате пара зараженных компьютеров начинают постоянно обмениваться зараженными письмами, что может парализовать почтовые сервера и «забить» Интернет-каналы.

Более того, в некоторых случаях, в зависимости от установленного почтового клиента, два пробела (маркер) не записывается в конец поля «Тема». В результате, червь в бесконечном цикле начинает отвечать на все письма, и число отосланных и принятых писем на одном компьютере достигает нескольких тысяч всего за одну минуту.

Процедуры обнаружения и удаления Интернет-червя «Badtrans» уже добавлены в ежедневное обновление антивирусной базы Антивируса КасперскогоTM.

Более подробное описание данного червя см. здесь здесь.

«Badtrans» может парализовать каналы передачи данных

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике