Архив

Новое пришествие вируса SouthPark

Об очередном пришествии вируса-червя SouthPark предупреждают сразу несколько антивирусных компаний. По сообщению Computer Associates вирус был замечен в «диком» виде в Австрии.

Вирус-червь SouthPark впервые появился в марте этого года и является новым вариантом ранее обнаруженного червя PrettyPark.

SouthPark распространяется по электронной почте, используя Microsoft Outlook. Заражению подвержены компьютеры, на которых установлены следующие операционные системы: Windows 95, Windows 98, Windows NT 4.0 или Windows 2000.

Червь прибывает по e-mail в виде прикрепленного файла к письму, написанному на немецком языке, тема письма:

Servus Alter!

Тело письма содержит текст:

Hier ist das Spiel, das du unbedingt wolltest!;-)
(Здесь есть игра, которую ты так отчаянно искал)

Прикрепленный файл имеет имя South Park.exe.
Вирус написан на Visual Basic 5 и для заражения необходимо, чтобы в системе присутствовала необходимая библиотека — MSVBVM50.DLL. Эта DLL обычно располагается в системном каталоге Windows. Даже если исполняемый файл будет запущен, видимых следов деятельности вируса пользователь может и не обнаружить. Однако, червь, используя MS Outlook, рассылает себя по всем адресам, обнаруженным на зараженном компьтере в адресной книге Outlook. Червь также создает свои копии с именем South Park.exe в корневых каталогах на каждом жестком диске и копирует себя в C:WinGuard.exe и вносит необходимые изменения в системный регистр, чтобы запускаться при каждой следующей загрузке системы. Дополнительно вирус создает следующие файлы:

C:Windowsstart.dll
C:Windowssystem.dll

В файле Windowssystem.dll хранится дата инфицирования, а в Windowsstart.dll накапливаются данные о количестве перезапусков системы, начиная с момента инфицирования.

После первого перезапуска Windows создается файл C:WindowsSwapfile.vxd. Если каталога C:Windows не существует, то он (каталог) будет создан все равно. Файл Swapfile.vxd заполняется мусором и его размер постоянно растет, так что в конце концов свободного пространства жестком диске не остается.

Все антивирусные компании, предупреждающие о данном вирусе, отмечают, что червь не получил пока широкого распространения.

Новое пришествие вируса SouthPark

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике