Архив

Червь «Mintal» распространяется через TheBat!

В сети обнаружен новый многокомпонентный интернет-червь «Mintal». Он примечателен тем, что распространяется через почтовую систему TheBat!.

«Mintal» представляет собой приложение Windows (PE EXE-файл) и написан на Delphi.

Компонентами червя являются:

«install.exe» или «hwminstall.exe» — «дроппер», размер около 310K (упакован ASPack, распакованный размер — около 760K).


«insthwm.dll»
— основная компонента, размер около 650K.

«SVSHOST.EXE» — компонента рассылки писем, также содержит троянскую процедуру, размер около 490K.

«hwmdll.dll» — библиотека перехвата и ведения лога клавиатуры, размер около 41K.

При старте «дроппер» создаёт в системном каталоге Windows подкаталог hwminstall и копирует себя в него с именем «install.exe», также в системном каталоге в файле «insthwm.dll» создаётся основная компонента червя.

При запуске компоненты «insthwm.dll» она создаёт в системном каталоге еще два файла (компоненты
червя): «SVSHOST.EXE» и «hwmdll.dll» и запускает «SVSHOST.EXE» на выполнение.

«SVSHOST.EXE» выполняет следующие действия:

1. Получает доступ к базе данных TheBat!, ищет в ней адреса электронной почты и рассылает
по ним свои копии, вложенные в письма. При рассылке «Mintal» использует протокол SMTP (прямой
доступ) и отсылает свои письма через почтовый сервер «smtp.bk.ru».

Зараженные письма содержат:

Заголовок: Зацени прогу
Текст: Зацени новую прогу!
Имя вложения: install.exe

2. Перехватывает клавиатуру и при запуске программы «WebMoney.exe» ведет лог нажимаемых
символов, перехваченная информация затем отправляется на адрес злоумышленника (возможно, автора
вируса). Туда же отсылается персональная информация из каталога ICQ.

3. Скачивает свои новые версии с сайта «http://www.demonxtex.narod.ru» и запускает их на
выполнение («апгрейдит» себя).

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Mintal» доступно в Вирусной Энциклопедии Касперского.

Червь «Mintal» распространяется через TheBat!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике