Архив

Червь «Ganda» спекулирует на войне

Обнаружен новый вирус-червь «Ganda», пытается обмануть пользователей, предлагая им получитть новости о войне в Ираке.

«Ganda» распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также «Ganda» внедряет свою компоненту внутрь исполняемых Win32 PE EXE-файлов. Червь активно противодействует антивирусным программам. Червь является приложением Windows (PE EXE-файл), имеет размер 45056 байт написан на языке Assembler.

Заголовок и текст выбираются из списка 10 вариантов на шведском языке и 10 вариантов на английском языке в зависимости от текущего установленного языка. Имя вложения: xx.scr (где xx — любые два символа в диапазоне от «a» до «z»).

«Ganda» активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.»Ganda» считывает адреса из адресной базы WAB. Программа также ищет файлы «*.eml», «*.*htm*», «*.dbx», сканирует их и выделяет строки, являющиеся электронными адресами.

Вредоносная программа сканирует все .EXE и .SCR файлы на локальном диске. Если в файле есть подходящие команды (проверяются из списка), то червь внедряет в последнюю секцию PE-файлов свою компоненту. Команда передачи управления на компоненту червя встраивается в выполняемый код. Встроенная компонента выполняет запуск копии червя из Windows каталога.

Более подробное описание «Ganda» доступно в Вирусной Энциклопедии Касперского.

Червь «Ganda» спекулирует на войне

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике