Архив

«Cheese»: интернет-червь занимается благотворительностью

По сообщению Координационного Центра CERT (Computer Emergency Response Team), созданного на базе Carnegie Mellon University в Питсбурге и специализирующегося на интернет-безопасности, и интернете появился этакий «дружелюбный» червь под названием «Cheese». Основное занятие этого доброжелателя — помогать нерадивым сисадминам, выискивая в интернете уязвимые Unix-ситемы и залатывая «дыры» в их безопасности.

«Cheese» проникает на машины тем же способом, что и другой червь, появившийся пару месяцев назад и известный под именем «Lion». Червь сканирует интернет, действуя аналогично утилитам типа «сниффер», в поиске машин с открытым 10008 TCP-портом (что позволяет хакерам при использовании набора определенных программ взламывать уязвимые системы). Проникнув на компьютер, червь инсталлирует свою копию в каталог ‘/tmp/.cheese’, распаковывая в нее файлы:

/tmp/.cheese/
/tmp/.cheese/ADL
/tmp/.cheese/go
/tmp/.cheese/cheese
/tmp/.cheese/psm
/tmp/.cheese/cheese.uue
/tmp/.cheese/cheese.tgz

Червь ищет и удаляет из системы все inetd-сервисы, обращающиеся к ‘/bin/sh’. Сделав «доброе дело», червь опять «собирается в дорогу» выполнять чужую работу. Для размножения ему совершенно не требуется вмешательство человека: червь копирует себя на компьютер-жертву и затем начинает новый цикл сканирования интернета, выискивая следующий объект для приложения своих усилий.

Червь содержит следующие комментарии:

# removes rootshells running from /etc/inetd.conf
# after a l10n infection… (to stop pesky haqz0rs
# messing up your box even worse than it is already)
# This code was not written with malicious intent.
# Infact, it was written to try and do some good.

«Cheese»: интернет-червь занимается благотворительностью

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике