Программное обеспечение

Снова о WMF-уязвимости

Прошло несколько дней после обнаружения WMF-уязвимости, и в сети появился первый распространяющийся посредством этой дыры IM-Worm.

Согласно сообщениям, полученным от голландских пользователей, червь распространяется через сеть MSN Messenger в виде следующей ссылки:

http://[удалено]/xmas-2006 FUNNY.jpg

Это может закончиться локальной (голландской) эпидемией, но пока что эффект от распространения червя невелик (меньше 1000 ботов на момент публикации постинга).

JPG-файл по ссылке на самом деле является HTML-страницей, на которой находится вредоносный WMF-файл, детектируемый Антивирусом Касперского как Exploit.Win32.IMG-WMF.

Этот WMF-файл скачивает на компьютер и запускает VBS-файл (детектируется как Trojan-Downloader.VBS.Psyme.br), который, в свою очередь, скачивает на компьютер одну из версий Sdbot (детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.gen).

В момент публикации этот SdBot загружал на компьютер одну из версий червя IM-Worm.Win32.Kelvir. Именно Kelvir отвечает за дальнейшее распространение червя через MSN.

Если судить по функционалу этого IRC-бота, то он с высокой вероятностью был сделан для киберпреступников.

Несколько слов в дополнение предыдущего постинга о WMF-уязвимости: мы отмечаем частые упоминания на множестве сайтов, что уязвимым файлом является библиотека shimgvw.dll.

Судя по всему, это не так, поскольку эксплойт срабатывает и на системах, из которых эта библиотека была удалена. Видимо, уязвимость находится в файле gdi32.dll.

Так что хоть удаление shimgvw.dll и позволяет снизить риск срабатывания эксплойта, нам в голову приходит несколько иных сценариев атаки, для которых подобная система будет по-прежнему уязвима.

Стоит, впрочем, отметить, что в случае удаления этой библиотеки основной вектор атаки смещается с веб-браузеров на «Проводник» и сторонние утилиты-просмотрщики.

Боюсь, что в завершение года нам придется предупредить пользователей быть аккуратнее с любыми файлами изображений. С растущим потоком электронных поздравительных новогодних открыток ситуация может быстро выйти из-под контроля.

Снова о WMF-уязвимости

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике