Архив

Червь Tulu активизируется при виде числа 7

Обнаружен вирус-червь Tulu. Червь представляет собой приложение Windows (PE EXE-файл), имеет размер около 63K (упакован UPX, размер распакованного файла — около 86K), и написан на Microsoft Visual C++.

При первом запуске червь активизирует процедуру инсталляции и копирует себя в каталог Windows с именем «MsKernel32.exe», в системный каталог Windows с именем «Rundll32.exe» и регистрирует
второй файл в ключе авто-запуска системного реестра: «HKLMSoftwareMicrosoftWindowsCurrentVersionRun Shell = %SystemDir%Rundll32.exe». Одновременно с этим создаётся новый ключ реестра с двумя переменными: «HKLMSoftwareKtulu
App = %WinDir%MsKernel32.exe Times = 0
«,
где «App» указывает на первую копию червя, а «Times» является счетчиком запусков червя и увеличивается при каждом старте зараженного файла.

На этом Tulu прекращает свою работу и
активизируется только при повторном запуске (например, из ключа «Run» при перезагрузке Windows).

При достижении счетчиком «Times» значения 7 червь активизирует свои прецедуры (т.е. червь в большинстве случаев «спит» и ждёт седьмой загрузки Windows).

При значении счетчика 7 и более червь копирует себя с именем «ktulu.exe» на все удалённые диски, доступные на запись, создаёт в каталоге Windows файл «normal.dot» и записывает в него макросы. При открытии и закрытии документа вирус перезаписывает свой normal.dot вместо всех «dot» файлов, найденных на локальных дисках, вписывает строку «Ktulu :)» в начало файла «Regedit.exe» в каталоге Windows, а затем ищет все файлы «Msinfo32.exe» на всех локальных дисках и записывает в них тот же текст. Файлы после этого становятся неработоспособными. После этого вирус ищет все диски, являющиеся CD-ROM и пытается копировать себя на диск с именем «autorun.exe» и записать команду авто-запуска этого файла в системный файл «autorun.inf» на том же диске. Затем червь копирует себя на сменные диски и виртуальные диски (RAMDISK) с именами, случайно выбираемыми из списка.

При значении счетчика 13 и более червь вписывает строку «Ktulu :)» в начало файлов в каталоге Windows.

При значении счетчика 15 и более червь в системном каталоге Windows переименовывает все файлы с расширением имени .CPL в файлы с расширением имени .PNL и устанавливает на переименованные файлы атрибуты «скрытый», «системный», «read-only».

При значении счетчика 100 и более червь создаёт в корневых каталогах всех локальных дисков файл «Leame.vbs».

Процедуры защиты от данной вредоносной программы уже добавлены в базу данных Антивируса Касперского. Более подробные сведения о черве Tulu доступны в Вирусной Энциклопедии Касперского.

Червь Tulu активизируется при виде числа 7

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике