Архив

«Crayon of Doom» — ловушка для эротомана

Sophos сообщает о новом VBS-черве под названием «Cod-A» (другое название этого червя «Crayon of Doom»), отмечая при этом, что какие-либо случаи инфицирования этим вирусом неизвестны, и они сообщают об этом черве из-за паники, которую начали другие антивирусные компании.

Червь распространяется по e-mail в присоединенном файле, используя для этого Microsoft Outlook или по каналам miRC и PIRCH IRC (Internet Relay Chat).

Тема сообщения, в котором приходит червь:

«Hey whats up, Important!»

Тело сообщения содержит следующий текст:

«Hey I attached a list for you to this e-mail take a look at it and tell me what you think.»

Присоединенный файл имеет название «Pornlist.doc» и записан в формате Word 6/95. Если открыть этот присоединенный файл, то на дисплее появляется иконка, похожая на иконку .GIF-файла. Если затем дважды кликнуть на появившуюся иконку, то в результате, естественно, не загрузится никакой GIF-файл, а червь скопирует свой дроппер на жесткий диск и затем запустится на исполнение.

Затем червь начинает копировать VBS-файл и зараженный документ Word на все локальные и доступные сетевые диски. Червь также проверяет, существуют ли директории C:MIRC или C:PIRCH98, и если да, то создает скрипт-файл с названием C:MIRCSCRIPT.INI в директории C:MIRC и скрипт-файл с названием C:PIRCH98EVENTS.INI в директории C:PIRCH98. Эти скрипты в свою очередь делают попытку отправить инфицированный файл Pornlist.doc другим пользователям чата (Relay Chat).

Червь изменяет инсталляционные Windows-файлы WIN.INI и SYSTEM.INI, а также добавляет свои записи в системный реестр Windows, чтобы запускаться автоматически при каждом старте системы.

«Crayon of Doom» — ловушка для эротомана

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике