Описание вредоносного ПО

Остерегайтесь Интернет-червя BadTransII!

Win32, 29K (сжат при помощи UPX, размер в несжатом виде — около 70K).

Устанавливается в систему в регистре «Пуск». Инсталлируется подобно трояну PSW.Hooker:

Имя инсталлированного файла трояна, целевая директория и ключ регистра опциональны. Они хранятся в зашифрованном виде в файле трояна, записанными в конце него.
Злоумышленник может изменять их прежде, чем отправить на компьютер-жертву или перед тем, как поместить их на веб-странице.

Данный червь (он был найден «в диком виде»):
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceKernel32 = kernel32.exe

проникает в файл kdll.dll (перехватчик клавиатуры) и
пересылает украденную информацию на адрес uckyjw@hotmail.com
MAPI — получает почту,
SMTP — отправляет почту,
в сообщении содержится та же самая брешь IFRAME,
перехватывает загрузчик ключа и, похоже, само сообщение также является бэкдором.

Сообщение выглядит следующим образом:

От: адрес реального отправителя или ложный, случайно выбираемый из списка:
«Anna»
«JUDY»
«Rita Tulliani» «Tina»
«Kelly Andersen»
«Andy»
«Linda»
«Mon S»
«Joanna»
«JESSICA BENAVIDES»
«Administrator»
«Admin»
«Support»
«Monika Prado»
«Mary L. Adams»
«Anna» «JUDY»
«Tina»

Тема: пусто или «Re:»
Тело письма: пусто
Вложенный файл: случайно выбранное имя файла +ext1+ext2

Имя файла:
ext1: .DOC .ZIP .MP3
ext2: .scr, .pif

«Pics» или «PICS»
«images» или «IMAGES»
«README»
«New_Napster_Site»
«news_doc» или «NEWS_DOC»
«HAMSTER»
«YOU_are_FAT!» или «YOU_ARE_FAT!»
«stuff»
«SETUP»
«Card» or «CARD»
«Me_nude» or «ME_NUDE»
«Sorry_about_yesterday»
«info»
«docs» или «DOCS»
«Humor» или «HUMOR»
«fun» или «FUN»
«SEARCHURL»
«S3MSONG»

Например, «info.DOC.scr»

Возможно, существуют разные варианты, нами был получер экземпляр с именем RESUME.DOC.scr

Остерегайтесь Интернет-червя BadTransII!

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике