Архив

PE_MTX_II.A — вежливый вирус-червь

PE_MTX_II.A — полиморфный вирус-червь, заражающий системы под управлением Win32. Содержит три компоненты: троянскую, червя и Palm-компоненту.
Вирус инфицирует EXE-файлы Win32 и затем распространяет их с помощью электронной почты, а также прерывает работу Palm-приложений.

После выполнения червь предлагает пользователю зараженного компьютера выбор: инфицировать определенный файл, который затем будет непрерывно инфицировать другие файлы, или нет.

Вирус копирует себя в системный каталог Windows в файл со случайным именем и раширением DLL. Затем распаковывает свою компоненту, инфицирующую файлы, в тот же каталог в файл со случайным именем и раширением TMP, после чего создает отдельный процес и запускает оригинальный вирусный файл на выполнение.

Затем злодей информирует пользователя о создании копии вирусного файла, показывая следующее сообщение:

THIS IS THE CURRENT VIRUS FILE NAME:

C:WINDOWSSYSTEM[случайное имя].DLL

После этого вирус ищет на жестком диске файлы WS2_32.DLL и WSOCK32.DLL и спрашивает разрешения у пользователя на инфицирование файла:

CAN I TRY TO INFECT THIS FILE?

C:WINDOWSSYSTEMWS2_32.DLL

[OK] [Cancel]

При выборе пользователем кнопки OK вирус инфицирует выбранный файл, в противном случае — нет.

Вирус также создает резервную копию файла (выбранного для заражения) с расширением «.—«. Он исправляет экспортируемые (из DLL) функции «recv», «send» и «connect», которые указывают на вирусный код.

После инфицирования файлов вирус показывает следующее сообщение:

THIS FILE WAS INFECTED:

C:WINDOWSSYSTEMWS2_32.—

Затем загружает библиотеку IMAGEHLP.DLL и использует SearchTreeForFile API для поиска следующих файлов:

NAPSTER.EXE
WINZIP32.EXE
EUDORA.EXE
WINRAR.EXE
W32DSM89.EXE
WZSEPE32.EXE
WSCRIPT.EXE
ICQ.EXE

Вирус ищет вышеперечисленные файлы и инфицирует их.

Вирус не заражает файлы, длина которых меньше, чем 8Кб, или больше, чем 9216Кб, а также файлы, содержащие любые 2-х байтные последовательности в своих именах:

«AV»
«00»
«VS»
«RW»
«VC»
«GP»

Перед инфицированием файла вирус проверяет первый байт в точке входа и не заражает этот файл, если первый байт представляет собой PUSHF(9Ch) или PUSHA-инструкцию (60h). Это гарантирует, что файл не будет заражен дважды.

PE_MTX_II.A — вежливый вирус-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике