Архив

Червь Lovgate ворует данные с зараженного компьютера

В сети обнаружен новый вирус-червь Lovgate, который также известен как Supnot. Червь распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по локальной сети. Также устанавливает в систему программу-шпиона. В настоящий момент известно несколько версий червя, которые отличиются друг от друга незначительными деталями.

Lovgate является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой AsPack, имеет размер: «Lovgate.a»: около 85K, «Lovgate.b»: около 77K, «Lovgate.c»: около 79K.

В письмах червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При заражении сети червь просто копирует себя в каталоги сети, а также пытается автоматически запустить свою копию (под WinNT). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего
распространения.

Зараженные письма рассылаются двумя способами.

1. Червь ищет «*.ht*»-файлы в текущем каталоге, в каталоге Windows и в каталоге «My Documents», выделяет из них строки, являющиеся адресами электронной почты и рассылает по этим адресами зараженные письма. При отсылке писем червь использует прямое подключение к SMTP-серверу
(указанному в настройках системы или подключается к серверу smtp.163.com).

2. Червь использует функции Windows MAPI и «отвечает» на письма, обнаруженные в почтовом ящике.

«Ответ» червя следующий:

Червь запускает бекдор-процедуру, используя метод IPC (Interprocess Communication) — червь открывает сетевое соединение (pipe) и запускает на зараженной машине командный процессор CMD.EXE (под WinNT) или COMMAND.COM (под Win9x). В результате удаленный «хозяин» червя получает доступ к ресурсам зараженного компьютера.

Процедуры защиты от данной вредоносной программы уже добавлены в базу данных Антивируса Касперского. Более подробные сведения о черве Lovgate доступны в Вирусной Энциклопедии Касперского.

Червь Lovgate ворует данные с зараженного компьютера

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике