Архив

CHAMELEON.B и CHAMELEON.C — новые версии макро-вируса

Обе разновидности заражают область глобальных макросов (NORMAL.DOT) и документы MS Word при их открытии и закрытии, а также отключают опцию защиты от макро-вирусов в Word.

W97M_CHAMELEON.B

Если день текущего месяца больше 26, то вирус заменяет артикль «the» в активном документе на текстовую строку и добавляет в инфицированный документ еще одну свою строку, а также изменяет заголовок зараженного документа.

Вирус копирует файл QUIET.VBS со своими макросами в STARTUP-директорию WINDOWS, затем после выполнения VBS-файла инфицирует NORMAL.DOT.

Если день текущего месяца больше 26, то вирус заменяет артикль «the» в активном документе на: «MUM.. DAD.. FUCK U !!»

Вирус добавляет в каждый инфицированный документ текстовую строку:

«MUM.. DAD.. ALL U GIVEN ME IN THE LAST FEW MONTHZ IZ SHIT !!»

А заголовок инфицированного документа меняет на: «MUM.. DAD.. FUCK U !!»

W97M_CHAMELEON.C

Этот вариант вируса ко всему прочему отключает некоторые опции меню в Word, например такие, как: TOOLS|MACROTOOLS|TEMPLATES и ADD-INS.FORMAT|STYLE GALLERY.
В своем коде вирус содержит комментарии.

Для заражения шаблонов и документов Word вирус копирует свой файл QUIET.DLL в директорию c:WindowsSystem и затем приступает к своим обязанностям.

CHAMELEON.B и CHAMELEON.C — новые версии макро-вируса

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике