Архив

Появился опасный вирус-червь Win32.HLLW.Nulock

Лаборатория Касперского сообщает о появлении нового
опасного вируса-червя — «Win32.HLLW.Nulock». Червь является приложением Win32, написан на Delphi и имеет размер около 300Kb. Вирус инсталлирует себя в систему, остается в памяти Windows как отдельное приложение (имя которого присутствует в списке задач), и затем через некоторые промежутки времени (от 10 до 20 минут) копирует себя на диск A: (если такой есть).

Червь не заражает больше никаких файлов и не распространяет себя никаким более способом.

При копировании себя в систему и на диск A: червь создает для своих копий случайные имена, например:

DOLE.EXE, JFMCQRL.EXE, PLNTGS.EXE, ETZBQVT.EXE, JDESH.EXE, WJPIOR.EXE

При инсталляции в систему червь копирует себя в каталог Windows, при этом копиия червя имеет случайное имя и расширение .DLL, например:

DOLE.DLL, JFMCQRL.DLL, PLNTGS.DLL

Затем червь регистрирует этот файл в системном реестре в секции авто-запуска:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun «NumLock»=»value»

Ключ «value» зависит от имени файла-червя, например:

NumLock = «windirdole.dll»
NumLock = «windirjfmcqrl.dll»
NumLock = «windirplntgs.dll»

где «windir» является именем каталога Windows.

Для того, чтобы Windows запускала DLL-файл червя как обычное приложение, червь создает новый ключ системного реестра:

HKCRdllfileshellopencommand

и записывает в него значение, идентичное значению ключа запуска EXE-файлов:

HKCRexefileshellopencommand

По вторникам в 10:30 червь стирает файлы системного реестра:

USER.DAT, SYSTEM.DAT, USER.DA0, SYSTEM.DA0

Появился опасный вирус-червь Win32.HLLW.Nulock

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике