Архив

Появился опасный вирус-червь Win32.HLLW.Nulock

Лаборатория Касперского сообщает о появлении нового
опасного вируса-червя — «Win32.HLLW.Nulock». Червь является приложением Win32, написан на Delphi и имеет размер около 300Kb. Вирус инсталлирует себя в систему, остается в памяти Windows как отдельное приложение (имя которого присутствует в списке задач), и затем через некоторые промежутки времени (от 10 до 20 минут) копирует себя на диск A: (если такой есть).

Червь не заражает больше никаких файлов и не распространяет себя никаким более способом.

При копировании себя в систему и на диск A: червь создает для своих копий случайные имена, например:

DOLE.EXE, JFMCQRL.EXE, PLNTGS.EXE, ETZBQVT.EXE, JDESH.EXE, WJPIOR.EXE

При инсталляции в систему червь копирует себя в каталог Windows, при этом копиия червя имеет случайное имя и расширение .DLL, например:

DOLE.DLL, JFMCQRL.DLL, PLNTGS.DLL

Затем червь регистрирует этот файл в системном реестре в секции авто-запуска:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun «NumLock»=»value»

Ключ «value» зависит от имени файла-червя, например:

NumLock = «windirdole.dll»
NumLock = «windirjfmcqrl.dll»
NumLock = «windirplntgs.dll»

где «windir» является именем каталога Windows.

Для того, чтобы Windows запускала DLL-файл червя как обычное приложение, червь создает новый ключ системного реестра:

HKCRdllfileshellopencommand

и записывает в него значение, идентичное значению ключа запуска EXE-файлов:

HKCRexefileshellopencommand

По вторникам в 10:30 червь стирает файлы системного реестра:

USER.DAT, SYSTEM.DAT, USER.DA0, SYSTEM.DA0

Появился опасный вирус-червь Win32.HLLW.Nulock

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике