Описание вредоносного ПО

Обнаружен новый IRCBot-паразит

Судя по данным статистики современный мир вредоносных программ состоит из разнообразных троянцев: бэкдоров, загрузчиков, дропперов и т.п. Мы все еще обнаруживаем некоторое количество создаваемых киберхулиганами новых классических компьютерных вирусов, но иногда нам встречаются образчики интеграции старых вирусных технологий в более серьезные современные вредоносные программы.

Почти год назад мы обнаружили Tenga, классический компьютерный вирус с функционалом червя и троянца-загрузчика.

А недавно мы добавили в наши базы детекшен для еще одного похожего вируса — Virus.Win32.Virut.4960. Несмотря на то, что её название звучит не слишком красиво, это довольно интересная вредоносная программа.

Подобно Tenga, Virut.4960 является классическим «дописывающимся» вирусом. Он заражает EXE- и SCR-файлы, дописывая в них свой зашифрованный код.

Самое интересное заключается в том, что дописываемый код содержит в себе функционал IRCBot. Когда пользователь запускает зараженный файл, то «дописанный» в него IRCBot пытается соединяться с определенным IRC-сервером.

Функции этого IRCBot весьма ограничены, он может всего лишь скачивать файлы, определяемые злоумышленником. Но даже подобной скромной функциональности достаточно, чтобы на пораженный компьютер проникли другие вредоносные программы.

Подобная стратегия атаки обладает несколькими очевидными преимуществами, основным из которых является то, что детектировать такую атаку смогут только антивирусные сканеры. Такая вредоносная программа сможет, например, «обойти» антишпионские решения, которые не содержат полноценного антивирусного движка и потому не способны детектировать и лечить зараженные исполняемые файлы.

Хоть подобный подход и нельзя назвать общепринятым, очевидно, что он будет развиваться, поскольку позволяет обманывать большинство антишпионских программ.

Обнаружен новый IRCBot-паразит

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике