Отчеты о вредоносном ПО

Тенденции развития вредоносных программ, август 2004

Главным событием августа, несомненно, стало появление первой вредоносной программы для Pocket PC, получившей название Backdoor.WinCE.Brador.a. Эта утилита удаленного администрирования, умеющая принимать и исполнять различные команды, является коммерческой (предлагается приобретать клиентскую часть утилиты за деньги). Это означает, что в ближайшее время данный backdoor вполне способен получить серьезную распространенность.

Также антивирусной лабораторией компании была обнаружена троянская программа Trojan.SymbOS.Mosquit.a, файл которой является игрой для сотовых телефонов, работающих под управлением операционной системы Symbian. Программа получила характеристику троянской, поскольку она, помимо своего «легального» предназначения, умеет рассылать SMS на определенные телефонные номера без ведома пользователя.

Продолжает увеличиваться число новых троянских программ-шпионов. В конце августа появилось сразу семь новых вариантов Trojan.PSW.LdPinch, два новых варианта TrojanSpy.Win32.Small.q (программа ворует данные пользователя при работе с 55 различными системами электронных платежей и отправляет их автору «троянца») и довольно большое количество Trojan.PSW.Lmir (семейство «троянцев», ворующих пароли от китайской онлайновой игры Legend of Mir).

В середине августа компанией Pentest была обнаружена уязвимость в WIDCOMM Bluetooth Connectivity Software, которая позволяет запускать произвольный код на атакуемом устройстве с правами текущего пользователя. Патчей, устраняющих эту уязвимость, пока нет, поэтому возможно появление программ, использующих её для своего распространения.

28 августа при помощи спамерской рассылки были распространены письма: тема письма «1», во вложении файл длиной 8 байт с именем «1.gif» или «2.gif», содержащий в себе текст «45451212». В сообщении содержится html-код, использующий Exploit.HTML.ObjData для загрузки из интернета вредоносной программы TrojanDropper.Win32.Small.kv. Такой же файл распространялся с известным червем I-Worm.Bagle. Возможно, это подготовка к выпуску новой версии I-Worm.Bagle.

В прошедшем месяце была зарегистрирована эпидемия почтового червя I-Worm.Mydoom.q. Механизмы распространения данной версии червя прекратили свою деятельность 20 августа 2004 года после 21:11:11, однако остался работоспособным Backdoor.Win32.Surila.g, устанавливаемый червем на зараженный компьютер.

В следующем месяце первые места по количеству одинаковых копий, как обычно, будут занимать черви, по количеству разнообразных вариантов — программы-шпионы. Возможно появление новых вредоносных программ для КПК и сотовых телефонов, в том числе, распространяющихся с помощью уязвимости в WIDCOMM Bluetooth Connectivity Software. Также, в связи с зафиксированной спамерской рассылкой письма с уязвимостью Exploit.HTML.ObjData, скачивающего TrojanDropper.Win32.Small.kv, возможно широкое распространение новой версии I-Worm.Bagle.

Тенденции развития вредоносных программ, август 2004

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике