Архив

«Лаборатория Касперского» предупреждает компьютерных пользователей о новом интернет-черве Firkin или «911»

Это целое семейство вирусов-червей, распространяющихся по локальной компьютерной сети. Появились они
в конце марта — начале апреля 2000. Также известны под именем «вирус 911» —
по причине своего проявления и шума, поднятого в информационных каналах.

Вирусы написаны на командном языке DOS и являются BAT-файлами. Используют только
команды DOS и некоторые внешние утилиты, однако этого хватает для
реализации методов распространения по локальной сети. Состоят из нескольких
компонент: червь является не одним файлом, а набором из нескольких BAT- и
PIF-файлов.

На зараженной машине червь записывает в стартовый каталог Windows («Start
MenuProgramsStartup») свой PIF-стартер, который активизирует основной
BAT-файл червя. В стартовый каталог Windows записывается также второй
PIF-файл, который вызывает утилиту, скрывающую DOS-окно программы-червя. В
результате червь продолжает работу в скрытом фоновом режиме.

Для своего распространения червь перебирает IP-адреса в достаточно широком
диапазоне и пытается установить контакт с компьютером по этому IP-адресу.
Если это удается, червь считывает список доступных (shared) ресурсов
(каталогов) на этом компьютере и определяет права доступа к ним. Если
какой-либо каталог удаленного компьютера открыт на запись, то червь ищет на
нем каталог Windows и устанавливает себя на этот диск, то есть заражает
его. При заражении червь создает собственный подкаталог в каталоге «Program
Files» на заражаемом диске и записывает свои PIF-стартеры в каталог
авто-запуска Windows (см. ниже).

Червь способен заразить удаленный компютер и в дальнейшем продолжать
заражение других компьютеров только в том случае, если Windows установлена
только в каталоге C:WINDOWS. В противном случае червь неспособен к
размножению.

Червь содержит крайне опасное проявление — в зависимости от своего
случайного счетчика форматирует диски компьютера или набирает при момощи
модема номер «911» (номер Службы Спасения США).

Известно несколько вариантов червя. Они отличаются лишь деталями:

Каталог, куда червь копирует свои компоненты:

«Firkin.a,b»: C:PROGRA~1FORESKIN (C:Program FilesFORESKIN»)
«Firkin.c»: C:PROGRA~1CHODE (C:Program FilesCHODE»)

Наиболее важные файлы червя:

«Firkin.a»:
A,B,C,D,E,F,G,H,I,J,ADD,FINAL,HIDE,SLAM — «.BAT»
ASHIELD.EXE, ASHIELD.PIF

MSTUM.BAT, MSTUM.PIF

«Firkin.b»:
A,B,C,D,E,F,G,H,I,J,ADD,ZULU,HIDE,SLAM

ASHIELD.EXE, ASHIELD.PIF

MSTUM.BAT, MSTUM.PIF

«Firkin.c»:
ADD, RANDOM

ASHIELD.EXE, ASHIELD.PIF

CHODE.BAT, NETSTAT.PIF

PIF-файлы также копируются в стартовый каталог Window.

Процедуры нейтрализации червя и защиты от него
добавлены в ежедневное обновление антивирусных баз «Антивируса Касперского»
(AVP).

«Лаборатория Касперского» предупреждает компьютерных пользователей о новом интернет-черве Firkin или «911»

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике