Червь из Непала, покоривший Гималаи

13 Дек 2007

мин. на чтение

Авторы

Александр Гостев

Тамел, центральный квартал Катманду, столицы Непала. Сотни магазинчиков, продающих все — от деревянных статуэток Будды до полного набора снаряжения длительных гималайских экспедиций. Через день мне тоже отправляться в горы, и я покупаю в одном из магазинов, специализирующемся на фототехнике, флэш-карту Compact Flash для своего фотоаппарата.

После трех недель путешествий и приключений в высоких горах я возвращаюсь в Москву и собираюсь скопировать фотографии с карты памяти в свой компьютер при помощи флэш-ридера. И первое, что я замечаю — два скрытых файла в корневом каталоге карточки: autorun.inf и VirusRemoval.vbs.

О червях и вирусах, которые все чаще и чаще распространяются через съемные накопители информации, используя метод автозапуска из autorun.inf, мы писали неоднократно, и множество пользователей сталкивалось с подобными вредоносными программами. Также история знает несколько примеров, когда винчестеры, флэшки, MP3-плееры и другие портативные устройства были инфицированы прямо на заводах компаний-производителей.

В моем случае на карточке Kingston поселился Worm.VBS.Small.n, добавленный в антивирусные базы «Антивируса Касперского» 14 ноября — через два дня после того, как я купил ее в Непале.

Детальный анализ кода червя выявил его непальское происхождение. В процессе своей работы вредоносная программа заменяет стартовую страницу браузера Internet Explorer на сайт sujin.com.np (NP — интернет-домен Непала).

Вероятнее всего, компания Kingston не имеет прямого отношения к этому инциденту и червь попал на карту памяти в Непале — возможно, в том самом магазине, где я ее приобрел.

А возможно, что «флэшка» поддельная и изготовлена на каком-нибудь подпольном непальском заводе. Именно поэтому мы публикуем указанные на ней данные, которые, быть может, помогут установить ее подлинное происхождение.

Итак, снежного человека в Гималаях я не нашел, зато привез «непальского червя». И, как вы думаете, может быть, стоит подать заявку в книгу рекордов Гиннесса на признание Worm.VBS.Small.n «компьютерным вирусом, побывавшим выше всех остальных над уровнем моря»? Ведь вместе со мной и моим фотоаппаратом он в конечном итоге достиг высоты 6189 метров. 🙂

Авторы

Александр Гостев

Червь из Непала, покоривший Гималаи

Последние публикации

Отчеты

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Червь из Непала, покоривший Гималаи

Zcash – возвращение «черных копателей»

Развитие информационных угроз в первом квартале 2016 года

FakeCERT атакует

10 лет первому мобильному червю Cabir

Agent.btz — источник вдохновения?

История с бэкдором в XZ — первоначальный анализ

Атаки на индустриальный и государственный секторы РФ

Банкер QBot распространяется через деловую переписку

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В репозитории PyPI найдено еще два вредоносных пакета Python

Последние публикации

История с бэкдором в XZ — первоначальный анализ

SoumniBot: уникальные техники нового банкера для Android

Билдер LockBit и целевые шифровальщики

Зловреды для Android на любой вкус

Отчеты

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Азиатские APT-группировки: тактики, техники и процедуры

Как поймать «Триангуляцию»

Подпишитесь на еженедельную рассылку