Описание вредоносного ПО

Обнаружен первый backdoor, использующий rootkit от Sony

Сегодня был обнаружен первый backdoor, который пытается использовать ставший широкоизвестным rootkit от Sony. После проведенного нами анализа, вредоносная программа получила название Backdoor.Win32.Breplibot.b.

Согласно информации, полученной благодаря Trend Micro, данный backdoor был разослан по спам-рассылке. Разосланное письмо имело следующие параметры:

Тема письма:

Requesting Photo Approval

Вложение:

article_december_3621.exe

Текст письма:

Hello,

Your photograph was forwarded to us as part of an article we are publishing for our December edition of Total Business Monthly. Can you check over the format and get back to us with your approval or any changes? If the picture is not to your liking then please send a preferred one. We have attached the photo with the article here.

Kind regards,
Jamie Andrews
Editor
www.TotalBusiness.co.uk
**********************************************
The Professional Development Institute
**********************************************

Breplibot.b представляет собой файл размером 10240 байт. Файл упакован UPX.

При запуске бэкдор копирует себя в системный каталог Windows под именем $SYS$DRV.EXE.

Это имя позволяет вредоносной программе быть скрытой посредством пресловутого руткита от Sony. Разумеется, сокрытие программы произойдет, только если на компьютере функционирует DRM-защита, поставляющаяся на некоторых Audio CD Sony.

После запуска бэкдор создает следующий ключ в реестре:

[HKEY_LOCAL_MACHINE] «WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj»=»$SYS$DRV.EXE»

Обнаружен первый backdoor, использующий rootkit от Sony

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике