Архив

CARACULA.A : появился новый деструктивный скрипт-вирус

PHP_CARACULA.A — новый скрипт-вирус, преставляет собой скрипт-программу на языке PHP (Hypertext Preprocessor scripting language). Распространяется через IRC (Internet Relay Chat), вставляя свой код в конец HTM, HTML и PHP файлов. Вирус также заражает файлы с расширениями .EXE, .OCX, .SYS, .BAT и .VXD в системном каталоге Windows, перезаписывая их своим кодом.

После выполнения вирус выводит на дисплей некое сообщение об ошибке, а сам тем временем ищет файл SCRIPT.INI, определяя, установлен ли на зараженном компьютере клиент MIRC. При нахождении этого файла, вирус записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает его копию каждому пользователю, который подключается к каналу.

Затем вирус создает в корневой директории C: каталог «a _MSPHP» и записывает туда файл MS.PHP, который содержит его копию. Вирус также создает файл MSPHP.INI, содержащий следующий текст:


[MSPHP]

Microsoft PHP Support
This folder and the ms.php file into it will help your computer and you web browser to move one step more into the world of PHP.

Microsoft wants you to enjoy the high technology available on the net in this day, so to make this ability Microsoft developed a new product named MSPHP that will help you and your computer to know the PHP language.

This folder was created automaticly bu MSInternetExplorer Live Update. If you want to uninstall this options do not delete the folder or the file because then you may cause damage to your computer just send email to msphp@microsoft.com and we will tell you how to uninstall it.

Copyright Microsoft (c) 2001

После этого вирус уничтожает содержимое файла MSDOS.SYS и заполняет его «мусором», что приводит к тому, что инфицированная система больше не загружается. Содержимое файла MSDOS.SYS после бесчинств вируса будет представлять собой следующее:

[Paths]
WinDir=G:_SymMicrosoftWindows
WinBootDir=A:Systemini
HostWinBootDrv=R»

[OPTIONS] BootMulti=6
WinVer=Infected Version
MsDos By Microsoft
Xxxxxxxxxxxxxxxxxxxxxxxxx

Вирус портит файл CONFIG.SYS, также заполняя его «мусором»:

[Windows] device=C:Windows??ss.sys
device=C:_msdos90.sys
device=C:Windowsnotepad.exe
Are you ready to slide ?????

После этого вирус удаляет на инфицированном компьютере следующие файлы:

C:Windowsregedit.exe
C:WindowsSystemMshtml.dll
C:WindowsSystemWsock.vxd
C:WindowsSystemWinspool.drv
C:WindowsSystemvxblock.dll

Вирус ищет файлы со следующими расширениями и добавляет свой код в конец этих файлов:

HTM
HTML
PHP

В системном каталоге Windows вирус перезаписывает своим кодом файлы, имеющие следующие расширения:

EXE
OCX
SYS
BAT
VXD

CARACULA.A : появился новый деструктивный скрипт-вирус

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике