Инциденты

Червь из Непала, покоривший Гималаи

Тамел, центральный квартал Катманду, столицы Непала. Сотни магазинчиков, продающих все — от деревянных статуэток Будды до полного набора снаряжения длительных гималайских экспедиций. Через день мне тоже отправляться в горы, и я покупаю в одном из магазинов, специализирующемся на фототехнике, флэш-карту Compact Flash для своего фотоаппарата.

После трех недель путешествий и приключений в высоких горах я возвращаюсь в Москву и собираюсь скопировать фотографии с карты памяти в свой компьютер при помощи флэш-ридера. И первое, что я замечаю — два скрытых файла в корневом каталоге карточки: autorun.inf и VirusRemoval.vbs.

О червях и вирусах, которые все чаще и чаще распространяются через съемные накопители информации, используя метод автозапуска из autorun.inf, мы писали неоднократно, и множество пользователей сталкивалось с подобными вредоносными программами. Также история знает несколько примеров, когда винчестеры, флэшки, MP3-плееры и другие портативные устройства были инфицированы прямо на заводах компаний-производителей.

В моем случае на карточке Kingston поселился Worm.VBS.Small.n, добавленный в антивирусные базы «Антивируса Касперского» 14 ноября — через два дня после того, как я купил ее в Непале.

Детальный анализ кода червя выявил его непальское происхождение. В процессе своей работы вредоносная программа заменяет стартовую страницу браузера Internet Explorer на сайт sujin.com.np (NP — интернет-домен Непала).

Вероятнее всего, компания Kingston не имеет прямого отношения к этому инциденту и червь попал на карту памяти в Непале — возможно, в том самом магазине, где я ее приобрел.

А возможно, что «флэшка» поддельная и изготовлена на каком-нибудь подпольном непальском заводе. Именно поэтому мы публикуем указанные на ней данные, которые, быть может, помогут установить ее подлинное происхождение.

Итак, снежного человека в Гималаях я не нашел, зато привез «непальского червя». И, как вы думаете, может быть, стоит подать заявку в книгу рекордов Гиннесса на признание Worm.VBS.Small.n «компьютерным вирусом, побывавшим выше всех остальных над уровнем моря»? Ведь вместе со мной и моим фотоаппаратом он в конечном итоге достиг высоты 6189 метров. 🙂

Червь из Непала, покоривший Гималаи

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике