Архив

Червь «Cult.b» прикидывается почтовой открыткой от BlueMountain.com

В сети обнаружен интернет-червь «Cult.b», который представляет собой приложение Windows (PE EXE-файл) размером около 16K в неупакованном виде или 9K, если упакован UPX (обнаружены оба варианта червя) и распространяется через интернет в виде файлов, прикрепленных к зараженным письмам и через сеть обмена файлами Kazaa.

При запуске своего EXE-файла «Cult.b» копирует себя в системный каталог Windows с именем «wuauqmr.exe». Червь также создаёт файл «awqewqed.dll» в системном каталоге Windows и записывает в файл себя в кодировке MIME. Данный файл затем используется червём при рассылке писем.

Зараженные письма содержат поля:

Заголовок: Hi, I sent you an eCard from BlueMountain.com

Текст:

To view your eCard, open the attachment

If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd

Thanks for using BlueMountain.com.

Имя вложения:BlueMountaineCard.pif

«Cult.b» активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь создаёт в системном каталоге Windows подкаталог «jdfghtrg» и копирует себя туда с различными
именами, затем каталог «jdfghtrg» регистрируется как каталог обмена файлов сети Kazaa.

Помимо прочих «радостей», «Cult.b» организует DoS-атаку на два сервера: chat.planet.nl и
www.chat-planet.nl

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Cult.b» доступно в Вирусной Энциклопедии Касперского.

Червь «Cult.b» прикидывается почтовой открыткой от BlueMountain.com

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике