Архив

Червь «Ganda» спекулирует на войне

Обнаружен новый вирус-червь «Ganda», пытается обмануть пользователей, предлагая им получитть новости о войне в Ираке.

«Ganda» распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также «Ganda» внедряет свою компоненту внутрь исполняемых Win32 PE EXE-файлов. Червь активно противодействует антивирусным программам. Червь является приложением Windows (PE EXE-файл), имеет размер 45056 байт написан на языке Assembler.

Заголовок и текст выбираются из списка 10 вариантов на шведском языке и 10 вариантов на английском языке в зависимости от текущего установленного языка. Имя вложения: xx.scr (где xx — любые два символа в диапазоне от «a» до «z»).

«Ganda» активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.»Ganda» считывает адреса из адресной базы WAB. Программа также ищет файлы «*.eml», «*.*htm*», «*.dbx», сканирует их и выделяет строки, являющиеся электронными адресами.

Вредоносная программа сканирует все .EXE и .SCR файлы на локальном диске. Если в файле есть подходящие команды (проверяются из списка), то червь внедряет в последнюю секцию PE-файлов свою компоненту. Команда передачи управления на компоненту червя встраивается в выполняемый код. Встроенная компонента выполняет запуск копии червя из Windows каталога.

Более подробное описание «Ganda» доступно в Вирусной Энциклопедии Касперского.

Червь «Ganda» спекулирует на войне

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике