Архив

FIX.36864 крадет все подряд

FIX.36864 — троянская программа, позволяющая удаленному хакеру осуществить доступ на инфицированный компьютер. Может распростряняться по email.

После выполнения троянец регистрирует себя на зараженной машине как системное ПО:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun DialUp Security

А также записывает в каталог Windows System на диск C: и затем запускает на выполнение два других своих файла «1DIALUPS.EXE» и «MASXNFT.DLL». Эти «дропперы» троянца содержат инструкции искать пароли, имена пользователей, имена хостов, dial-up и email-аккаунты и отправлять их электронной почтой по следующим адресам:

addr2@server.com

addr3@server.com

majlisb@yahoo.com

Троянец может распространяться в виде присоединенного файла по электронной почте. Письмо, содержащее троянский файл, выглядит следующим образом:

От кого: Techinfo@microsoft.com

Тема: MICROSOFT WINDOWS (0x800ccc210XC0)
RUNTIME ERROR FIXTURE(Win9x/w2k)

Вложение: Fix210x.exe

FIX.36864 крадет все подряд

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике