Описание вредоносного ПО

Текущее состояние MS06-040

В прошлые выходные мы обнаружили первую вредоносную программу, использующую уязвимость MS06-040 — Backdoor.Win32.IRCBot.st.

Любопытно, что эта программа содержит старый эксплойт, который (в обычных условиях) способен срабатывать только на ОС Windows 2000. Это основная причина, по которой количество заражений IRCBot.st не слишком велико.

Случай с IRCBot.st похож на историю червя Bozori, который также, в обычных условиях, был способен заражать только компьютеры с ОС Windows 2000. Впрочем, по сравнению с использованной в Bozori уязвимостью MS05-039, уязвимостью MS06-040 гораздо проще воспользоваться на компьютере с Windows XP.

И есть основания думать, что соответствующий эксплойт уже создан, но в данный момент продолжает оставаться собственностью своего создателя. А авторы IRCBot.st, судя по всему, полагаются на эксплойты, доступные любому посетителю интернета.

Настоящие последствия публикации информации об уязвимости MS06-040 мы увидим, когда какой-нибудь бекдор или червь воспользуются полностью рабочим новым эксплойтом. Давайте надеяться, что это случится не скоро.

P.S. Не забывайте перезагружать компьютер после установки новых патчей. Пока вы этого не сделаете, ваша машина останется уязвимой.

Текущее состояние MS06-040

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике