Архив

TR0C — новый Windows-вирус

PE_TR0C (aka W95/TROC, WIN32.TROC) — опасный резидентный полиморфный вирус, заражающий PE EXE файлы (выполняемые файлы Windows) после начальной загрузки. Вирус разрушает инфицированные им файлы из-за дефектов в процедуре заражения.

Вирус записывает на компьютер свой файл-дроппер PE_TR0C-O, этот файл может быть сжатым UPX-компрессией. При первом запуске этого файла, вирус создает свою копию в корневой директории Windows, присваивая ему случайное имя. Затем вирус, чтобы быть активным после каждой загрузки системы, добавляет в системный реестр следующую запись:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunXXXXXX = Cc:WINDOWSXXXXXX.EXE

где XXXXXX.EXE — случайное имя записываемого вирусом файла.

При каждой начальной загрузке системы вирус инфицирует несколько EXE-файлов Windows, помимо этих вирус заражает также и другие файлы, добавляя свой код в конец инфицируемого файла и модифицирует стартовый адрес программы таким образом, что при загрузке в память зараженного файла управление передается на код вируса. Вирус увеличивает размер инфицированного файла приблизительно на 70 килобайт. Однако инфицированные файлы уже больше не запускаются, т.к. вирус содержит ошибки в процедуре заражения.

Чтобы инфицировать EXPLORER.EXE, который запускается в момент загрузки самой системы и до того как вирус будет сам запущен на исполнение, вирус предпринимает следующие шаги:

  1. После первой перезагрузки после первоначальной инфекции, вирус создает зараженную версию EXPLORER.EXE под именем EXPLORER.AB и записывает его в корневую директорию Windows.
  2. Затем вирус создает файл WININIT.INI со следующим значением: c:WINDOWSEXPLORER.EXE = c:WINDOWSEXPLORER.AB
  3. После повторной перезагрузки системы вирус заражает EXPLORER.EXE, т.к. загруженным на данный момент оказывается EXPLORER.AB. Далее вирус удаляет файл WININIT.INI.
  4. После третьей перезагрузки зараженный файл EXPLORER.EXE загружается и уже не может быть ни «вылечен» ни удален, а вирус удаляет ненужный ему EXPLORER.AB.

TR0C — новый Windows-вирус

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике