Архив

Lindose: появился вирус, умеющий заражать и Windows и Linux системы

W32/Lindose (W32/Winux) — новый нерезидентный Win32-вирус, способный поражать как системы Win32, так и Linux. Вирус не был пока замечен в «диком виде» и является по всей видимости «пробой пера».

Вирус ищет выполняемые файлы Windows и Linux и инфицирует их. Зараженные файлы будут содержать строку-комментарий: «Win32/Linux.Winux». После инфекции меняется лишь дата последней модификации, но размер файлов при этом не увеличивается.

При заражении PE-файлов (выполняемых файлов Windows) вирус записывает свой код в таблицу настройки адресов (таблица перемещений — Relocation или Fixup Table), затирая ее первоначальное содержимое.
Вирус дополнительно проверяет размер таблицы настроек адресов и заражает файлы только в том случае, если код вируса помещается в пределы таблицы. В результате размер файлов при заражении не увеличивается.

ELF-файлы (выполняемые файлы Linux) после инфицирования увеличиваются в размере на 2784 байта. При этом все символы в именах зараженных файлов вирус преобразует в строчные.

В теле вируса содержатся следующие комментарии:

[Win32/Linux.Winux] multi-platform virus by Benny/29A
This GNU program is covered by GPL.

Lindose: появился вирус, умеющий заражать и Windows и Linux системы

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике