Архив

IBLIS.A ловит в свои сети любителей «клубнички»

PIF_IBLIS.A — интернет-червь, распространяющийся по IRC-каналам (Internet Relay Chat) с помощью клиента mIRC, установленного на зараженной машине. Червь маскируется под текстовый файл, содержащий пароль для доступа на порнографический сайт.

Червь прибывает на компьютер в виде PIF-файла или ярлыка (shortcut) к программам MS-DOS или Windows. Если на зараженном компьютере стоит установка в системе скрывать расширения файлов, то вирус выглядит как текстовый файл, содержащий пароль доступа на некий порно-сайт.

После выполнения червь «скидывает» свою копию в корневую директорию Windows под именем WINSTART.BAT. Затем при рестарте системы этот файл также выполняется и в свою очередь записывает еще одну копию червя в виде файла C0MMAND.COM в корень C:. Имя этого файла отличается от оригинального C:COMMAND.COM тем, что в нем вместо букв «О» записаны нули «0».

Файл WINSTART.BAT запускаясь выполняет внедренный в него код червя, который берет контроль над mIRC. Червь перехватывает некоторые функции mIRC, такие как набивание текста и отсылка в чат файлов следующих типов: .EXE, .COM, .BAT, .INI, .VBS, .ZIP, .JPG, .TXT, .HTML. Используя эти функции червь обманным путем отсылает свои сообщения, содержащие копии вируса в виде присоединенного файла с именем X_PASS.TXT.PIF всем, с кем общается пользователь зараженной машины по IRC-каналу. Сообщение червя имеет следующее содержание:

Please if you want my Special IBLIS SEX Pass List J TYPE !SEXPASS.»

Вирусный код содержит в себе следующие строки-комментарии:

IBLIS WORM _designed by DelArmg0 on 30/01/2000

__GreetZ to U IBLIS !

My Dear KaT J An Alive P03m…

IBLIS.A ловит в свои сети любителей «клубнички»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике