Архив

«Blue Code» борется с «Code Red» и IIS-серверами

«Лаборатория Касперского» сообщает об обнаружении «Blue Code» — очередной вредоносной программы, атакующей Web-серверы под управлением пакета Microsoft Internet Information Server (IIS). На данный момент компания получила несколько сообщений о фактах распространения данной вредоносной программы в Китае.

Подобно «Code Red», «Blue Code» поражает IIS-серверы, однако для проникновения на них он использует другую брешь в системе безопасности этой платформы — Web Directory Traversal, которая была обнаружена в октябре 2000 г. Внедрение на целевой сервер происходит таким образом, что сначала червь получает доступ к его жесткому диску, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его.

Файл-носитель червя создает в корневой директории диска C несколько служебных файлов: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. Имена первых двух файлов являются зарезервированными и принадлежат стандартным программам из поставки Windows 2000/NT. Таким образом, «Blue Code» пытается скрыть свое присутствие в системе.

Вредоносный файл SVCHOST.EXE регистрируется в разделе автоматической загрузки системного реестра Windows, так что червь будет активизироваться после каждой загрузки компьютера.

В свою очередь, файл D.VBS предпринимает ряд действий, направленных на удаление из памяти активных копий червя «Code Red» и создание защиты от него. В частности, он находит и дезактивирует приложение INETINFO.EXE, отвечающее за предоставление доступа к ресурсам WWW-сервера. Кроме того, «Blue Code» изменяет обработку специализированных HTTP-запросов, c целью нейтрализации возможных попыток проникновения на сервер червя «Code Red». Таким образом «Blue Code» освобождает ресурсы компьютера для своих нужд.

Для своего дальнейшего распространения червь инициирует 100 активных процессов сканирования IP-адресов и пытается внедрить свою копию по описанному выше сценарию на найденные удаленные компьютеры. Такое обилие дополнительных процессов может существенно снизить производительность зараженного IIS-сервера.

«Blue Code» также имеет неприятное побочное действие: с 10 до 11 утра по Гринвичу он проводит с зараженных компьютеров DoS-атаку (Denial of Service) на сервер http://www.nsfocus.com.

«Blue Code» борется с «Code Red» и IIS-серверами

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике