Архив

W32/Hybris-C: новая модификация интернет-червя появилась в «диком виде»

Hybris-C — новый вариант интернет-червя Hybris, распространяющийся при помощи зараженных электронных писем. Работоспособен под Win32. Содержит в себе подпрограммы-компоненты (плагины) и выполняет их по мере необходимости, компоненты зашифрованы 128-битным ключом. Эти плагины могут быть «обновлены» червем с Интернет-страницы автора вируса.

При запуске EXE-файла с копией червя он заражает библиотеку WSOCK32.DLL. Каждый раз при отправке пользователем электронного письма с зараженной машины червь предпринимает попытку отправить письмо со своей присоединенной копией по этому же адресу. Текст email-сообщения определяется одним из установленных компонентов, и, следовательно, может меняться по мере «обновления» версии червя. Соответственно, тема, тело сообщения и имя присоединенного файла могут постоянно меняться.

Один из компонентов червя проверяет какой язык установлен на инфицированном компьютере и посылает письмо на этом языке:

На английском:

Тема:
Snowhite and the Seven Dwarfs — The REAL story!

Тело сообщения:

polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter…

На французском:

Тема:
aidй ‘blanche neige’ toutes ces annйes aprиs qu’elle se soit enfuit de chez

Тело сообщения:

sa belle mиre, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrйs du travail. Mais cette fois ils avaient un air coquin…

На португальском:

Тема:
muito feliz e ansiosa, porque os 7 anхes prometeram uma *grande* surpresa.

Тело сообщения:

As cinco horas, os anхezinhos voltaram do trabalho. Mas algo nao estava bem… Os sete anхezinhos tinham um estranho brilho no olhar…

На испанском:

Тема:
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*

Тело сообщения:

sorpresa para su fiesta de compleaсos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos…

Червь также содержит компонент, который 24 сентября 1 минуту в час в любой день 2001 года выводит в центре экрана большую анимационную картинку, изображающую спираль, от которой очень трудно избавиться.

картинка червя

Кроме этого червь содержит компонент, который применяет простое полиморфное шифрование своей копии, прежде чем отправить ее по e-mail, тем самым пытаясь полностью изменить свой внешний вид непредсказуемым образом.

Подробнее о методах «обновления» червя см. здесь.

W32/Hybris-C: новая модификация интернет-червя появилась в «диком виде»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике