Архив

Под «заплаткой» для Windows может оказаться троянская программа.

«Лаборатория Касперского» предупреждает пользователей о появлении новой версии интернет-червя I-Worm.Leave, которая распространяется по сети под видом сообщения от Microsoft. Сообщение содержит информацию о дополнении, устраняющем брешь в системе безопасности Windows, однако указанный URL «заплатки» изменен на фиктивный, внешне похожий на сайт компании Microsoft. При его активизации происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. Лаборатория Касперского уже получила несколько сообщений о случаях заражения данной вредоносной программой.

Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000 . При запуске основной компоненты Интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.

Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через Интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.

Так как средства массовой информации уже проявили определенный интерес к новому вредоносному коду, Лаборатория Касперского обращает внимание на следующее. Основные компоненты программы содержат главный пароль троянской программы «SubSeven», поэтому данный вирус проникает только на уже зараженные этим троянцем машины.

Процедуры защиты от Интернет-червя «Leave» уже добавлены в антивирусную базу данных Антивируса Касперского.

Под «заплаткой» для Windows может оказаться троянская программа.

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике