Архив

Описание вируса SWScript.LFM

этот текст был написан Костин Раю (Costin Raiu) Румыния

Это первый известный вирус, который заражает файлы MacroMedia Shockwave (.SWF). Эти файлы обычно используются для различных видов анимации в сети интернет. Например анимированные электронные карты и поздравительные открытки. Вирус не способен заражать файлы .SWF если он загружен проигрывателем, который поставляется вместе с большинством версий обозревателей Netscape и Internet Explorer. Вирус будет выполняться и размножаться только если пользователь вручную установит внешний проигрыватель файлов Shockwave Flash, в котором отсутствуют некоторые ограничения стандартного проигрывателя. В настоящий момент этот вирус не был обнаружен в диком виде. Мы считаем что он не сможет распространяться самостоятельно.


Технические детали:

Вирус использует функции скрипт языка, встроенного в файлы .SWF. Он представляет из себя скрипт программу в формате Shockwave-скрипт. Эта скрипт программа создает и запускает файл V.COM размером 926 байт. Для того чтобы создать этот файл скрипт использует внешний системный файл DEBUG.EXE. Вызов DEBUG.EXE работоспособен только для операционный систем Windows NT, 2000 и XP, потому что для его запуска вирус вызывает командный процессор CMD.EXE, который не входит в поставку операционных систем Win9x/Me. Файл V.COM после старта ищет файлы *.SWF в текущем каталоге и записывается в их начало. Вирус проверяет сигнатуру файлов: FWSx99, затем он встраивает новый скрипт со своим телом. Этот новый скрипт выбрасывает и запускает файл
V.COM. При заражении файлов вирус динамически выделяет память в которой сохраняет код оригинального .SWF файла.

Описание вируса SWScript.LFM

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике