Описание вредоносного ПО

И снова о «Cheese»: благими намерениями…

Интернет-червь «Cheese» заражает компьютеры которые были взломаны другим Linux червем «Ramen». Он действует как «заплатка дыр», которая удаляет открытые для внешнего доступа компьютеры, которые были взломаны, но для которых не была устранена брешь в системе безопасности. Таким образом компьютеры все еще остаются уязвимыми для внешних атак. Червь содержит строки текста:

> # removes rootshells running from /etc/inetd.conf
> # after a l10n infection… (to stop pesky haqz0rs
> # messing up your box even worse than it is already)
> # This code was not written with malicious intent.
> # Infact, it was written to try and do some good.

Неважно, какие хорошие намерения были у его авторов, но червь «Cheese» способен размножаться как вредная программа, которая «съедает» системные ресурсы.

Технические детали

Червь состоит из трех файлов: «cheese», «go» и «psm». Файл «go» является стартером для червя и запускает основную часть, которая хранится в файле «cheese».

Файл «cheese» представляет из себя скрипт-программу на языке Perl размером 2 килобайта. Это основное тело червя, которое отвечает за его размножение. После запуска он сканирует файл настроек «/etc/inetd.conf» на
наличие сервисов, которые запускают «/bin/sh» (обычно используется программами «бэкдор») и удаляет эту строку из него.

Более подробное описание червя «Cheese» см. в Вирусной Энциклопедии Касперского.

И снова о «Cheese»: благими намерениями…

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике