Архив

Червь «Mintal» распространяется через TheBat!

В сети обнаружен новый многокомпонентный интернет-червь «Mintal». Он примечателен тем, что распространяется через почтовую систему TheBat!.

«Mintal» представляет собой приложение Windows (PE EXE-файл) и написан на Delphi.

Компонентами червя являются:

«install.exe» или «hwminstall.exe» — «дроппер», размер около 310K (упакован ASPack, распакованный размер — около 760K).


«insthwm.dll»
— основная компонента, размер около 650K.

«SVSHOST.EXE» — компонента рассылки писем, также содержит троянскую процедуру, размер около 490K.

«hwmdll.dll» — библиотека перехвата и ведения лога клавиатуры, размер около 41K.

При старте «дроппер» создаёт в системном каталоге Windows подкаталог hwminstall и копирует себя в него с именем «install.exe», также в системном каталоге в файле «insthwm.dll» создаётся основная компонента червя.

При запуске компоненты «insthwm.dll» она создаёт в системном каталоге еще два файла (компоненты
червя): «SVSHOST.EXE» и «hwmdll.dll» и запускает «SVSHOST.EXE» на выполнение.

«SVSHOST.EXE» выполняет следующие действия:

1. Получает доступ к базе данных TheBat!, ищет в ней адреса электронной почты и рассылает
по ним свои копии, вложенные в письма. При рассылке «Mintal» использует протокол SMTP (прямой
доступ) и отсылает свои письма через почтовый сервер «smtp.bk.ru».

Зараженные письма содержат:

Заголовок: Зацени прогу
Текст: Зацени новую прогу!
Имя вложения: install.exe

2. Перехватывает клавиатуру и при запуске программы «WebMoney.exe» ведет лог нажимаемых
символов, перехваченная информация затем отправляется на адрес злоумышленника (возможно, автора
вируса). Туда же отсылается персональная информация из каталога ICQ.

3. Скачивает свои новые версии с сайта «http://www.demonxtex.narod.ru» и запускает их на
выполнение («апгрейдит» себя).

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Mintal» доступно в Вирусной Энциклопедии Касперского.

Червь «Mintal» распространяется через TheBat!

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике