Архив

Червь Newbiero

Вирус-червь. Распространяется по локальным сетям. Содержит функции «бекдор» и DDoS. Червь является приложением Windows (PE EXE-файл), имеет размер около 160K написан на Microsoft Visual C++.

При запуске червь копирует себя со случайным именем (например, AGCMJL.EXE, CBICAR.EXE) в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Diagnostic = %случайное имя%

Затем червь удаляет свой файл (из которого был запущен).

Червь также создает в системном каталоге Windows файл MSSE.INI, который идентифицирует зараженные компьютеры. Червь использует этот файл для предотвращения повторного заражения компьютеров в сети.


Распространение

Червь сканирует IP-адреса локальной сети и пытается подключиться к обнаруженным компьютерам. Если на компьютере-жертве диск открыт на запись, то червь копирует себя на данный компьютер в каталог авто-запуска Windows:

WINDOWSStart MenuProgramsStartUpmssg.exe

Если Windows остановлена в каталоге с другим именем, то заражения не происходит.


Бекдор

Данная процедура позволяет удаленно управлять зараженным компьютером и выполнять следующие действия:

  • скачивать на компьютер другие EXE-файлы и запускать их
  • запускать уже существующие файлы
  • выгружать Windows, перезагружать компьютер
  • выполнять DoS-атаки (Denial of Service)
  • передавать RAS-информацию (логины, пароли)


Прочее

Червь пытается выгрузить следующие FireWall-ы:

Sygate Personal Firewall
Tiny Personal Firewall
ZoneAlarm Pro
ZoneAlarm

Если присутствует файл «c:logging.ini», то червь ведет логи своих действий в файлах:

c:logsmisc.log
c:logsIPreport.log
c:logsips.log
c:logsrecived.log
c:logsyey.ini
c:logsscan.log
c:logsinfections.log
c:logsservmsg.log
c:logsFetchreport.log
c:logsopt.abc
c:logsabc.cba
c:online.log

Червь Newbiero

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике