Архив

Fizzer: многовекторный червь нападает через e-mail и KaZaA

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакеров и спама, сообщает об обнаружении нового интернет-червя «Fizzer». Помимо рассылки по электронной почте, данная вредоносная программа содержит процедуры рассылки через P2P-сеть KaZaA, клавиатурного «жучка» и троянца для удаленного управления зараженным компьютером.

На данный момент «Лаборатория Касперского» уже получила сообщения об инцидентах, связанных со случаями заражения «Fizzer».

«Fizzer» является классическим сетевым червем, распространяющимся по ресурсам интернета. Эта вредоносная программа доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. После этого на диске создаются 5 дополнительных файлов и модифицируется секция автозапуска программ системного реестра Windows для загрузки «Fizzer» при старте операционной системы.

Отличительной, но отнюдь не уникальной чертой этого червя является многовекторность: он одинаково эффективно распространяется по электронной почте и через файлообменную сеть KaZaA.

Для рассылки по e-mail «Fizzer» сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в крупнейших публичных почтовых системах, таких как hotmail.com и yahoo.com. После этого червь от имени владельца компьютера незаметно рассылает зараженные сообщения, которые могут иметь различные темы, тексты и имена вложенных файлов. Например:

Тема: Re: I think you might find this amusing…
Вложенный файл: Logan6.exe
Текст: Let me know what you think of this…

Для распространения по KaZaA «Fizzer» создает свои копии со случайными именами в директории этой файлообменной сети, так что они становятся доступными для других ее участников.

«Fizzer» имеет ряд опасных побочных эффектов, которые могут спровоцировать утечку конфиденциальной информации с зараженного компьютера. Червь устанавливает клавиатурного «жучка», который перехватывает и записывает в отдельный файл все нажатия клавиш. Для передачи этих и других данных в систему внедряется backdoor-утилита (утилита несанкционированного удаленного управления), которая позволяет злоумышленникам незаметно контролировать компьютер через чат-каналы IRC и по протоколам HTTP и Telnet. Кроме того, червь регулярно соединяется с web-страницей на общедоступном сервере Geocities и пытается загрузить обновленную версию своих исполняемых модулей. Наконец, для предотвращения обнаружения, «Fizzer» сканирует память компьютера и закрывает активные процессы ряда наиболее популярных антивирусных программ.

Защита от «Fizzer» уже добавлена в базу данных Антивируса Касперского.

Более подробное описание этой вредоносной программы доступно в Вирусной Энциклопедии Касперского.

Fizzer: многовекторный червь нападает через e-mail и KaZaA

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике