Архив

I-Worm.PIF.Fable — новый интернет-червь

Лаборатория Касперского сообщает об обнаружении первого известного интернет-червя в формате PIF (Program information file) — I-Worm.PIF.Fable.

В зараженной системе файл-червь встречается в трех видах:

— собственно как PIF-файл;
— как BAT-файл для распространения самого себя в пределах локальной машины;
— как INI-скрипт для распростанения через IRC;

При этом перечисленные файлы полностью совпадают друг с другом, но имеют различные имена и расширения, выполняются системой различными способами (как PIF-файл, как BAT-программа, как INI-скрипт) и выполняют различные функции.

Червь также создает дополнительный VBS-скрипт для распространения через электронную почту.

Тело письма состоит из одной фразы, выбираемой случайно из двух возможных:

A nice little fable
Wanted to make sure you received this

К каждому письму приклеивается файл FABLE.PIF.

После рассылки червь выводит тесктовое сообщение:

The Grasshopper and the Owl
An Owl, accustomed to feed at night and to sleep during the day,
was greatly disturbed by the noise of a Grasshopper and earnestly
besought her to stop chirping. The Grasshopper refused to
desist, and chirped louder and louder the more the Owl entreated.
When she saw that she could get no redress and that her words
were despised, the Owl attacked the chatterer by a stratagem.
«Since I cannot sleep,» she said, «on account of your song which,
believe me, is sweet as the lyre of Apollo, I shall indulge
myself in drinking some nectar which Pallas lately gave me. If
you do not dislike it, come to me and we will drink it together.»
The Grasshopper, who was thirsty, and pleased with the praise of
her voice, eagerly flew up. The Owl came forth from her hollow,
seized her, and put her to death.

Подробнее о черве Fable см. здесь.

I-Worm.PIF.Fable — новый интернет-червь

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике