Описание вредоносного ПО

Двойной удар по 2.0

Если вы следите за IT-новостями, то, вероятно, вы, уже видели сообщения об обнаруженном нами новом черве — Net-Worm.Win32.Koobface, — нацеленном на пользователей социальных сетей Facebook и MySpace. На данный момент в нашем распоряжении 4 варианта; возможно, появятся и новые.

Червь использует достаточно простой метод: пользователь социальной сети (MySpace или Facebook) получает от своего знакомого ссылку на «видео», а когда пытается просмотреть ролик, появляется сообщение о необходимости обновить Flash Player. Этот метод сейчас часто встречается: стоит загрузить файл, якобы содержащий дистрибутив Flash Player, — и на вашем компьютере появится новая вредоносная программа.

Конечно, это не первая вредоносная программа, ориентированная на пользователей Facebook или MySpace. Просмотрев наши коллекции, мы нашли более ранние варианты этого червя, нацеленные только на MySpace, но не на Facebook. Очевидно, вирусописатели, которые произвели на свет Koobface, стараются добиться максимального расширения круга жертв, чтобы увеличить число компьютеров в ботнете.

Ребята, стоящие за Koobface, связаны и с «ложными антивирусами» XP Antivirus и Antivirus2009 — шпионскими программами, выдаваемыми за антивирусные приложения. Мы обнаружили инсталляторы этих шпионских программ, содержащие также код червя. А троянец Trojan-Downloader.Win32.Fraudload, который использовался для загрузки XP Antivirus и проч., теперь задействован для загрузки файлов червя.

Результат — двойной удар: мало того что компьютеры-жертвы заражаются червем и становятся частью ботнета, — в придачу они еще и получают шпионскую программу.

Двойной удар по 2.0

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике