Описание вредоносного ПО

Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay

Новые модификации почтового червя Bagle — Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay, при поиске электронных адресов жертв выполняют фильтрацию на предмет наличия в адресах следующих подстрок:

  • @avp.
  • @foo
  • @iana
  • @messagelab
  • @microsoft
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google
  • help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • news
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@.
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • update
  • winrar
  • winzip

Если любая подстрока найдена, то зараженное письмо в адрес жертвы не уходит. Именно этими действиями червя объясняется малое количество образцов червя, получаемых антивирусными компаниями.

Полное описание для двух указанных модификаций будет доступно в «Вирусной энциклопедии» в самое ближайшее время.

P.S. Если зараженные файлы с указанными модификациями имеют расширение cpl, то они детектируются как Email-Worm.Win32.Bagle.at.

Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике