Архив

Тревога: I-Worm.Goner

«Лаборатория Касперского», ведущий российский разработчик систем информационной безопасности, предупреждает об обнаружении нового Интернет-червя I-Worm.Goner. На данный момент уже получено несколько сообщений о случаях заражения компьютеров пользователей данной вредоносной программой.

Для активизации «Goner» пользователь должен самостоятельно запустить файл-носитель червя (GONE.SCR), после чего начинается процедура внедрения вредоносного кода на компьютер жертвы. Для этого «Goner» записывает свою копию в системный каталог Windows под тем же именем (GONE.SCR) и регистрирует этот файл в секции автозагрузки системного реестра Windows. Таким образом, червь автоматически запускается при каждой перезагрузке операционной системы.

Затем «Goner» начинает процедуру распространения по сети Интернет. Для этого одновременно используются два канала передачи данных: электронная почта и популярный Интернет-пейджер ICQ.
Для распространения по электронной почте червь получает доступ к почтовой программе Microsoft Outlook, создает письмо, содержащее зараженный файл GONE.SCR и незаметно для пользователя рассылает его по всем получателям из адресной книги Outlook. Рассылаемые сообщения выглядят следующим образом:

После этого последовательно выводятся следующие окна:

«Goner» также пытается рассылать свои копии при помощи Интернет-пейджера ICQ. Для этого он постоянно отслеживает список активных (online) пользователей и периодически пытается передать им файл-носитель червя. Для сокрытия своего присутствия в системе и несанкционированной работы с ICQ «Goner» постоянно сканирует имена вновь появившихся окон и закрывает служебные окна ICQ.

Помимо распространения по Интернет червь также проводит атаку на IRC-канал #pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели на зараженном компьютере незаметно запускается вредоносная скрипт-программа, которая с помощью клиента mIRC регулярно создает в этом канале пользователей со случайными именами. В некоторых случаях это может привести к перегрузке сервиса и безусловно нервирует других участников IRC-канала.

«Мы считаем, что эпидемия «Goner» скоро пойдет на убыль, — комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского», — Каждый раз в случае обнаружения новой вредоносной программы в первые часы наблюдается всплеск ее активности, которая через 2-3 дня постепенно затухает. Этот червь не использует нестандартных методов проникновения на компьютеры, поэтому, скорее всего, его судьба будет развиваться именно по такому сценарию».

Процедуры защиты от «Goner» уже добавлены в очередное обновление базы данных Антивируса Касперского.

Более подробное описание червя доступно в Вирусной Энциклопедии Касперского.

Тревога: I-Worm.Goner

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике