Архив

Описание Интернет-червя Lohack

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 15K (упакован UPX, распакованный размер файла — около 41K),
написан на Microsoft Visual C++.

Зараженные письма содержат:

Заголовок:
Hacking course…
Текст:
Look the hacking course — version 1.0 !
By Senna Spy — Made In Brazil
http://www.avpavp.hpq.com.br

Имя вложения:
hacking.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т.е.
является червем «однократного» действия.

Для рассылки писем червь сканирует каталог Windows со всеми подкаталогами, ищет файлы с расширениями имени:


.IDX .NCH .MDX .DBX .MSG .EML .TXT .HTM

в обнаруженных файлах ищет адреса электронной почты (текстовые строки, являющиеся адресами) и рассылает по этим адресам зараженные письма. При рассылке писем использует функции Windows MAPI.

Описание Интернет-червя Lohack

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике