Архив

В Сети завелся новый червяк — «Silver»

Лаборатория Касперского предупреждает об опасном интернет-черве «I-Worm.Silver». Червь распространяется при помощи зараженных писем, также рассылает свои копии в IRC-каналы и по локальной сети. Червь является приложением Windows (PE EXE-файл), написан на языке Delphi и имеет размер
около 90K (файл червя, однако, может быть встречен в упакованном виде, т.е. его размер может оказаться меньше указанного).

При рассылке писем со своей копией червь использует два метода. Во-первых, он ищет почтовую систему Eudora и, если она обнаружена, использует ее для рассылки писем. Для этого червь открывает файл отправляемых сообщений OUT.MBX, сканирует его, выделяет почтовые адреса и рассылает по ним письма, поля которых выглядят следующим образом:

Заголовок: concerning last week …
Текст: Please review the enclosed and get back with me ASAP.
Double click the Icon to open it.

Имя вложения: c:silver.exe

Во-вторых, червь пытается использовать установленную почтовую систему вне зависимости от ее имени. Для этого червь отрывает MAPI-соеднение с почтовой системой, перебирает все письма, выделяет из них почтовые адреса и
рассылает по ним сообщения:

Заголовок: Re: now this is a nice pic 🙂
Текст: Thought you might be interested in seeing her
Имя вложения: naked.jpg.exe

Для заражения IRC-клиентов червь записывает специальные скрипт-программы в каталоги IRC-клиентов C:MIRC, C:MIRC32, C:PIRCH98 (если таковые есть).
Скрипт-программа червя затем передает его копию всем пользователям, подключающимся к зараженному IRC-каналу.

Для заражения компьютеров в локальной сети червь перебирает все доступные диски (от C: до Z:), ищет на них каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции авто-запуска в файле
WIN.INI (в случае Win9x) или в системном реестре (WinNT). Таким образом червь способен заражать удаленные компьютеры, если их диски открыты на полный доступ.

Червь ищет активные приложения-антивирусы и выгружает их из памяти по именам:

AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
ZoneAlarm
WRQ NAMApp Class

Червь также ищет файлы данных антивирусов и удаляет их:

*.AVC (AVP)
*.DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Червь также пытается (по причине ошибки — безуспешно) заразить VBS-файлы.

Более подробное техническое описание I-Worm.Silver см. здесь.

В Сети завелся новый червяк — «Silver»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике