Архив

И снова о «Cheese»: благими намерениями…

Интернет-червь «Cheese» заражает компьютеры которые были взломаны другим Linux червем «Ramen». Он действует как «заплатка дыр», которая удаляет открытые для внешнего доступа компьютеры, которые были взломаны, но для которых не была устранена брешь в системе безопасности. Таким образом компьютеры все еще остаются уязвимыми для внешних атак. Червь содержит строки текста:

> # removes rootshells running from /etc/inetd.conf
> # after a l10n infection… (to stop pesky haqz0rs
> # messing up your box even worse than it is already)
> # This code was not written with malicious intent.
> # Infact, it was written to try and do some good.

Неважно, какие хорошие намерения были у его авторов, но червь «Cheese» способен размножаться как вредная программа, которая «съедает» системные ресурсы.

Технические детали

Червь состоит из трех файлов: «cheese», «go» и «psm». Файл «go» является стартером для червя и запускает основную часть, которая хранится в файле «cheese».

Файл «cheese» представляет из себя скрипт-программу на языке Perl размером 2 килобайта. Это основное тело червя, которое отвечает за его размножение. После запуска он сканирует файл настроек «/etc/inetd.conf» на
наличие сервисов, которые запускают «/bin/sh» (обычно используется программами «backdoor») и удаляет эту строку из него.

Более подробное описание червя «Cheese» см. в Вирусной Энциклопедии Касперского.

И снова о «Cheese»: благими намерениями…

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике