Архив

IBLIS.A ловит в свои сети любителей «клубнички»

PIF_IBLIS.A — интернет-червь, распространяющийся по IRC-каналам (Internet Relay Chat) с помощью клиента mIRC, установленного на зараженной машине. Червь маскируется под текстовый файл, содержащий пароль для доступа на порнографический сайт.

Червь прибывает на компьютер в виде PIF-файла или ярлыка (shortcut) к программам MS-DOS или Windows. Если на зараженном компьютере стоит установка в системе скрывать расширения файлов, то вирус выглядит как текстовый файл, содержащий пароль доступа на некий порно-сайт.

После выполнения червь «скидывает» свою копию в корневую директорию Windows под именем WINSTART.BAT. Затем при рестарте системы этот файл также выполняется и в свою очередь записывает еще одну копию червя в виде файла C0MMAND.COM в корень C:. Имя этого файла отличается от оригинального C:COMMAND.COM тем, что в нем вместо букв «О» записаны нули «0».

Файл WINSTART.BAT запускаясь выполняет внедренный в него код червя, который берет контроль над mIRC. Червь перехватывает некоторые функции mIRC, такие как набивание текста и отсылка в чат файлов следующих типов: .EXE, .COM, .BAT, .INI, .VBS, .ZIP, .JPG, .TXT, .HTML. Используя эти функции червь обманным путем отсылает свои сообщения, содержащие копии вируса в виде присоединенного файла с именем X_PASS.TXT.PIF всем, с кем общается пользователь зараженной машины по IRC-каналу. Сообщение червя имеет следующее содержание:

Please if you want my Special IBLIS SEX Pass List J TYPE !SEXPASS.»

Вирусный код содержит в себе следующие строки-комментарии:

IBLIS WORM _designed by DelArmg0 on 30/01/2000

__GreetZ to U IBLIS !

My Dear KaT J An Alive P03m…

IBLIS.A ловит в свои сети любителей «клубнички»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике