Описание вредоносного ПО

Новый кроссплатформенный вирус

Сегодня мы обнаружили первые сэмплы нового кроссплатформенного вируса. Вирус получил двойное название Virus.Linux.Bi.a / Virus.Win32.Bi.a.

Bi это очередная попытка создать вирус, работающий сразу на нескольких платформах — он способен работать как под Win32, так и под Linux.

Вирус написан на асcемблере и достаточно прост: заражает файлы только в текущем каталоге и интересен, в основном, благодаря своей кроссплатформенности.

Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов.

Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла.

Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.

Под Win32 вирус использует функции Kernel32.dll.

В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp».

Зараженные файлы содержат строки:

[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:

This is Sepultura signing off…

This is The Soul Manager saying goodbye…

Greetz to: Immortal Riot, #RuxCon!

Кроме того, сам инфектор содержит строки:

[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic

[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

Какого-либо практического применения этот вирус не имеет, поскольку является типичным представителем Proof-of-Concept — концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.

Virus.Linux.Bi.a / Virus.Win32.Bi.a уже добавлен в антивирусные базы «Лаборатории Касперского».

Новый кроссплатформенный вирус

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике