Архив

«PE_WEIRD» — новая троянская программа, позволяющая удаленно управлять компьютером-«жертвой»

Trend Micro сообщает о появлении в «диком виде» нового вируса PE_WEIRD, отмечая при этом, что вероятность заражения этим вирусом невелика.

Этот Win32-вирус является троянской программой Backdoor, позволяющей удаленно администрировать зараженный компьютер в Сети. Другие возможные имена вируса:

PE_ZYTZMXZY, ZYTZMXZY, W95/Kuang, W95/Kuang.dr, W95/Kuang2.cli, W95/Kuang2.svr, W95/Weird.1024.A

Вирус инфицирует все PE-файлы. В отличие от других подобных троянов, которые имеют только две части, PE_WEIRD имеет три части: клиентскую, серверную и программу-инфекцию. Клиентская и серверная части троянской программы позволяют удаленному пользователю обращаться к инфицированному компьютеру, в то время как программа-инфекция заражает все PE-файлы в компьютере.

Для заражения компьютера вирус создает файл «Explorer.?» (где «?» — это второй символ, взятый из имени зараженного компьютера) и записывает его в корневой каталог Windows.

Затем вирус модифицирует файл WININIT.INI и добавляет команду, с помощью которой файл «EXPLORER.EXE» заменяется на «EXPLORER.?». При запуске WINIINIT.EXE этот файл исполняется перед тем, как стартует пользовательский графический интерфейс Windows. При следующем перезапуске Window пользователем зараженный EXPLORER.EXE становится активным. Поскольку Explorer по умолчанию — невидимая задача, пользователь может и не подозревать, что его компьютер заражен, вирус постоянно запускается на заднем плане.

Как только инфицированный Explorer запускается, вирус записывает в корневой каталог Windows очередной файл, имя для которого вирус сочиняет с помощью следующей формулы:

{(«имя компьютера» — 41) + 20} -1 = «имя файла»

В промежутке между этими вычислениями вирус проверяет имя вновь созданного файла на валидность. Этот файл инфицированный Explorer также загружает как невидимый процесс. Цель этого процесса — исследование всех файлов на жестком диске и инфицирование PE-файлов.

Серверная компонента трояна позволяет удаленному «клиенту» делать следующие вещи:

  • просматривать сообщения;
  • открывать/закрывать CDROM;
  • запускать файлы;
  • перезагружать компьютер;
  • управлять панелью задач.

«PE_WEIRD» — новая троянская программа, позволяющая удаленно управлять компьютером-«жертвой»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике