Архив

Kozog — новая троянская программа

DDoS.Kozog — Win32-троянец, который позволяет организовать DDoS-атаку (распределенная атака «отказ в обслуживании»). Троянец был «выпущен на свободу» хакером или группой хакеров в ноябре 2000 года. Эта троянская программа была разослана по электронной почте в виде присоединенного файла. Письмо с трояном выглядит следующим образом:

From: World Travel Agency Ltd. [office4@worldtravel.com] Sent: November 21, 2000 5:31 PM
To: All tourists and vacationist
Subject: Celebrate the New Millenium!

World Travel Agency Ltd.
359 BTC Drive
P.O. Box 134108
Seattle, WA 98108-23
USA

Dear Sir/Madam

Celebrate the New Millenium! Discover the Paradise!

We offer the most attractive package for the New Millenium celebrations you have ever seen.
Pure nature, modern architecture and high technologies are fused to create the perfect resort.
Reasonable prises, correctness, high quality services.
Click on the zip-file below to see our offer!
Make your neighbours envy!

Best Regards,

Присоединенный файл, содержащий троянца, замаскирован под ZIP-архив, но на самом деле это Windows EXE-файл с именем: «OFFER2001.ZIP [много пробелов] .EXE». Этот файл является «инсталлятором» троянца.

При запуске EXE-файла («инсталлятора» троянца), он записывает в системную директорию Windows два исполняемых файла:

MRE.DLL
SOUNDV.EXE

На компьютерах, работающих по Win9x и WinNT эти файлы регистрируются в секциях авто-запуска системы различными путями: под WinNT троянец регистрирует файл SOUNDV.EXE в системном реестре:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

Под Win9x троянец регистрирует DLL-файл в SYSTEM.INI:

drivers=mre.dll

После этого троянец показывает ложное сообщение об ошибке:

Error
A requred DLL does not exist.

При следующем старте системы троянец будет активным (как скрытое приложение) и это позволит злоумышленникам активизировать опцию авто-набора номера для входа в интернет и затем запустить DoS-атаку на сервер «kozirog.netissat.net».

Kozog — новая троянская программа

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике