Архив

Lindose: появился вирус, умеющий заражать и Windows и Linux системы

W32/Lindose (W32/Winux) — новый нерезидентный Win32-вирус, способный поражать как системы Win32, так и Linux. Вирус не был пока замечен в «диком виде» и является по всей видимости «пробой пера».

Вирус ищет выполняемые файлы Windows и Linux и инфицирует их. Зараженные файлы будут содержать строку-комментарий: «Win32/Linux.Winux». После инфекции меняется лишь дата последней модификации, но размер файлов при этом не увеличивается.

При заражении PE-файлов (выполняемых файлов Windows) вирус записывает свой код в таблицу настройки адресов (таблица перемещений — Relocation или Fixup Table), затирая ее первоначальное содержимое.
Вирус дополнительно проверяет размер таблицы настроек адресов и заражает файлы только в том случае, если код вируса помещается в пределы таблицы. В результате размер файлов при заражении не увеличивается.

ELF-файлы (выполняемые файлы Linux) после инфицирования увеличиваются в размере на 2784 байта. При этом все символы в именах зараженных файлов вирус преобразует в строчные.

В теле вируса содержатся следующие комментарии:

[Win32/Linux.Winux] multi-platform virus by Benny/29A
This GNU program is covered by GPL.

Lindose: появился вирус, умеющий заражать и Windows и Linux системы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике