Архив

«Лаборатория Касперского» о новом вирусе Win32.FunLove

Предлагаем вашему вниманию подробное описание этого вируса от известного российского разработчика антивирусных систем безопасности компании «Лаборатория Касперского».

Вирус Win32.FunLove обнаружен в «диком виде» (In-the-Wild), т.е. для компьютерных пользователей существует реальная опасность заражения данным вирусом.

Win32.FunLove является неопасным резидентным паразитическим Win32 вирусом. Он заражает PE (Portable Executable) файлы на локальных и сетевых дисках. Благодаря своей способности размножаться по локальной сети вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски.

Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле: «Fun Loving Criminal».

После запуска зараженного файла, вирус создает в системной директории Windows файл FLCSS.EXE («Дроппер»), в который записывает свой «чистый» код, и затем запускает его на выполнение. «Дроппер» вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT — как сервис. После этого активизируется процедура заражения системы.

В случае возникновения ошибки в процессе создания «дроппера» для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через «дроппер». Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек.

В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и добавляет в стартовый адрес инструкцию «JumpVirus». Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Вирус имеет черты семейства вирусов «Bolzano». Он изменяет файлы NTLDR и WINNTSystem32ntoskrnl.exe тем же самым способом, что и вирус «Bolzano». Измененные файлы можно восстановить из резервной копии.

Процедуры обнаружения и удаления вируса Win32.FunLove содержатся во внеочередном обновлении антивирусных баз AntiViral Toolkit Pro (AVP) и доступны на сайте «Лаборатории Касперского».

«Лаборатория Касперского» о новом вирусе Win32.FunLove

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике