Архив

«Randon»: берегите ваш 445 порт!

Будьте осторожны — зарегестрированы несколько случаев заражения новым сетевым червем «Randon».

«Randon» представляет собой смесь червя и троянской программы и
распространяется по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows 2000 и Windows XP. Для проникновения на компьютер он подключается к IRC-серверу (или локальной сети), сканирует находящихся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы «Randon» пересылает на нее троянскую программу «Apher», которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя (всего 13 файлов, в том числе полноценный mIRC-клиент — программа для работы с IRC-каналами).
После этого «Randon» устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл и mIRC-клиента в ключе автозапуска системного реестре Windows и запускает их на выполнение.

Для сокрытия присутствия в памяти стороннего mIRC-клиента «Randon» использует специальную утилиту «HideWindows», которая также является одной из компонент червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс «Randon» можно обнаружить только в диспетчере задач Windows.

К счастью «Randon» не содержит каких-либо деструктивных функций. Его побочные эффекты — создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов. Для защиты от червя достаточно загрузить последние обновления антивирусной программы, установить персональный межсетевой экран Kaspersky® Anti-Hacker или пользоваться длинными паролями доступа на компьютер.

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.

Более подробное описание червя «Randon» доступно в «Вирусной Энциклопедии Касперского.

«Randon»: берегите ваш 445 порт!

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике