Архив

Описание вируса SWScript.LFM

этот текст был написан Костин Раю (Costin Raiu) Румыния

Это первый известный вирус, который заражает файлы MacroMedia Shockwave (.SWF). Эти файлы обычно используются для различных видов анимации в сети интернет. Например анимированные электронные карты и поздравительные открытки. Вирус не способен заражать файлы .SWF если он загружен проигрывателем, который поставляется вместе с большинством версий обозревателей Netscape и Internet Explorer. Вирус будет выполняться и размножаться только если пользователь вручную установит внешний проигрыватель файлов Shockwave Flash, в котором отсутствуют некоторые ограничения стандартного проигрывателя. В настоящий момент этот вирус не был обнаружен в диком виде. Мы считаем что он не сможет распространяться самостоятельно.


Технические детали:

Вирус использует функции скрипт языка, встроенного в файлы .SWF. Он представляет из себя скрипт программу в формате Shockwave-скрипт. Эта скрипт программа создает и запускает файл V.COM размером 926 байт. Для того чтобы создать этот файл скрипт использует внешний системный файл DEBUG.EXE. Вызов DEBUG.EXE работоспособен только для операционный систем Windows NT, 2000 и XP, потому что для его запуска вирус вызывает командный процессор CMD.EXE, который не входит в поставку операционных систем Win9x/Me. Файл V.COM после старта ищет файлы *.SWF в текущем каталоге и записывается в их начало. Вирус проверяет сигнатуру файлов: FWSx99, затем он встраивает новый скрипт со своим телом. Этот новый скрипт выбрасывает и запускает файл
V.COM. При заражении файлов вирус динамически выделяет память в которой сохраняет код оригинального .SWF файла.

Описание вируса SWScript.LFM

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике