Архив

I-Worm.Fog: зловредный интернет-червь ищет жертвы для DDoS-атак

I-Worm.Fog — интернет-червь, содержащий в себе также backdoor и DDoS процедуры. Является 180-килобайтной Win32-программой (PE EXE файл, упакован утилитой компрессии UPX, после распаковки размер червя составляет 500K). Написан на Delphi.

Червь распространяется при помощи зараженных электронных писем: рассылает себя на другие компьютеры в прикрепленном файле с именем «AntiVirus.exe». Для своего распространения использует функции MAPI. Червь также отсылает в IRC-канал отчеты о зараженных машинах и затем запускает backdoor и DDoS программы, что позволяет его удаленному хозяину манипулировать инфицированными компьютерами и совершать DoS-атаки на удаленные компьютеры.

При запуске зараженного файла на дисплей выводится сообщение:

Explorer
i reb00t
[OK]

При клике на кнопку «OK» червь червь копирует себя в системный каталог Windows в файл с именем «AntiVirus.exe» и в каталог %windows font directory% с именем «Times New Roman.exe». Последний файл регистрируется червем в ключе авто-запуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
Windows = %windows font directory%Timer New Roman.exe

Для распространения червь ищет во «Входящих» сообщениях все те, которые имеют по крайней мере один вложенный файл, и отвечает на них следующим письмом:

Тема: I think that you sent me a virus.. heres a cleaner
Тело: I took my computer to the shop and they ran this, and told me to send it to you.. hope this helps.
Вложение: AntiVirus.exe

Червь удаляет в каталоге Windows файлы NETSTAT.EXE и REGEDIT.EXE. Также ищет на зараженном компьютере некоторые активные в данный момент процессы, включая антивирусные программы, и пытается их прервать:

Червь содержит следующий текст-«copyright»:

[Fist Of God] [Remote DDoS] [v2.7b]

I-Worm.Fog: зловредный интернет-червь ищет жертвы для DDoS-атак

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике