Архив

Mandragore: новый интернет-червь распространяется среди пользователей Gnutella

Gnutella-Worm.Mandragore — вирус-червь, представляющий собой 8-килобайтную программу Win32. Червь распространяется с компьютера на компьютер при помощи сети обмена файлами Gnutella (peer-to-peer network, P2P, см. http://gnutella.wego.com) и заражает только Win32-системы.

На инфицированном компьютере червь регистрирует себя как ноду Gnutella, «слушает» запросы на поиск файлов в сети Gnutella и отвечает положительно на эти запросы. Т.е., если запрос на поиск файла Filename попадает на зараженный компьютер, то червь «отвечает», что такой файл есть и возвражает информацию об этом файле, при этом добавляет к имени файла EXE-расширение — «Filename.exe». Если затем следует запрос на «скачивание» этого файла, червь передает его по сети.

Червь не в состоянии самостоятельно запустить себя на удаленном компьютере, т.е. заражение очередного компьютера происходит только, если пользователь самостоятельно запустит полученный EXE-файл.

При заражении компьютера червь копирует себя в стартовый каталог Windows для текущего пользователя под именем «Gspot.exe» и устанавливает на свою копию атрибуты «скрытый» и «системный».

При следующем рестарте Windows червь автоматически активизируется (поскольку расположен в стартовом каталоге Windows) и остается в памяти Windows как активный процесс (под Win9x регистрируется как скрытый процесс).

Червь запускает две «нитки» своего процесса (фоновые подзадачи). Первая подзадача сообщает в сеть, что:
1) данный компьютер является нодой Gnutella;
2) положительно отвечает на поиск файлов в сети Gnutella.

Вторая подзадача передает по запросу копию червя с EXE-расширением.

Червь содержит строки текста:

[Gspot 1-] freely shared by mandragore/29A

Mandragore: новый интернет-червь распространяется среди пользователей Gnutella

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике