Архив

Kozog — новая троянская программа

DDoS.Kozog — Win32-троянец, который позволяет организовать DDoS-атаку (распределенная атака «отказ в обслуживании»). Троянец был «выпущен на свободу» хакером или группой хакеров в ноябре 2000 года. Эта троянская программа была разослана по электронной почте в виде присоединенного файла. Письмо с трояном выглядит следующим образом:

From: World Travel Agency Ltd. [office4@worldtravel.com] Sent: November 21, 2000 5:31 PM
To: All tourists and vacationist
Subject: Celebrate the New Millenium!

World Travel Agency Ltd.
359 BTC Drive
P.O. Box 134108
Seattle, WA 98108-23
USA

Dear Sir/Madam

Celebrate the New Millenium! Discover the Paradise!

We offer the most attractive package for the New Millenium celebrations you have ever seen.
Pure nature, modern architecture and high technologies are fused to create the perfect resort.
Reasonable prises, correctness, high quality services.
Click on the zip-file below to see our offer!
Make your neighbours envy!

Best Regards,

Присоединенный файл, содержащий троянца, замаскирован под ZIP-архив, но на самом деле это Windows EXE-файл с именем: «OFFER2001.ZIP [много пробелов] .EXE». Этот файл является «инсталлятором» троянца.

При запуске EXE-файла («инсталлятора» троянца), он записывает в системную директорию Windows два исполняемых файла:

MRE.DLL
SOUNDV.EXE

На компьютерах, работающих по Win9x и WinNT эти файлы регистрируются в секциях авто-запуска системы различными путями: под WinNT троянец регистрирует файл SOUNDV.EXE в системном реестре:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

Под Win9x троянец регистрирует DLL-файл в SYSTEM.INI:

drivers=mre.dll

После этого троянец показывает ложное сообщение об ошибке:

Error
A requred DLL does not exist.

При следующем старте системы троянец будет активным (как скрытое приложение) и это позволит злоумышленникам активизировать опцию авто-набора номера для входа в интернет и затем запустить DoS-атаку на сервер «kozirog.netissat.net».

Kozog — новая троянская программа

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике