Архив

Интернет-червь Sint заражает компьютеры в локальной сети

I-Worm.Sint — интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 30-килобайтной Win32-программой. Написан на Visual Basic.

При запуске червь копирует себя в каталоги Windows и регистрируется в ключе авто-запуске системного реестра.

Имя каталога Windows «C:Windows» «прошито» в коде червя, по этой причине он неспособен установить себя в систему, если имя каталога Windows отличается от указанного.

Червь также копирует себя с тем же именем в корневые каталоги всех доступных логических дисков (локальных и удаленных).

Затем червь подключается к почтовой системе MS Outlook, считывает из адресной книги все адреса и рассылает по ним сообщения:

Заголовок: Vicevi!
Имя вложения: Vicevi_teza_odvala.txt.exe

Текст письма выбирается случайно из 4-х вариантов:

Cao! Izvini sto te uznemiravam ovako, ali evo saljem ti neke viceve koji cete sigurno oraspoloziti!

Vozdra! Evo pogledaj ove viceve koje sam i ja dobio neki dan! Pravo su smijesni!

Cao korisnice! Znam da sigurno nemas vremena da pogledas ove viceve koje ti saljem. Nadam se da ces imati vremena da ih pogledas!

Zdravo! Nemoram ti nista pricati…samo pogledaj ovu veliku kolekciju viceva 😉

Чтобы скрыть свою активность, червь выводит сообщения:

…cash!
Raspakuj viceve!

WinZip SelfExtractor: Warning
CRC error: 234#21

Технические детали

Интернет-червь Sint заражает компьютеры в локальной сети

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике