Архив

W32/Hybris-C: новая модификация интернет-червя появилась в «диком виде»

Hybris-C — новый вариант интернет-червя Hybris, распространяющийся при помощи зараженных электронных писем. Работоспособен под Win32. Содержит в себе подпрограммы-компоненты (плагины) и выполняет их по мере необходимости, компоненты зашифрованы 128-битным ключом. Эти плагины могут быть «обновлены» червем с Интернет-страницы автора вируса.

При запуске EXE-файла с копией червя он заражает библиотеку WSOCK32.DLL. Каждый раз при отправке пользователем электронного письма с зараженной машины червь предпринимает попытку отправить письмо со своей присоединенной копией по этому же адресу. Текст email-сообщения определяется одним из установленных компонентов, и, следовательно, может меняться по мере «обновления» версии червя. Соответственно, тема, тело сообщения и имя присоединенного файла могут постоянно меняться.

Один из компонентов червя проверяет какой язык установлен на инфицированном компьютере и посылает письмо на этом языке:

На английском:

Тема:
Snowhite and the Seven Dwarfs — The REAL story!

Тело сообщения:

polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter…

На французском:

Тема:
aidй ‘blanche neige’ toutes ces annйes aprиs qu’elle se soit enfuit de chez

Тело сообщения:

sa belle mиre, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrйs du travail. Mais cette fois ils avaient un air coquin…

На португальском:

Тема:
muito feliz e ansiosa, porque os 7 anхes prometeram uma *grande* surpresa.

Тело сообщения:

As cinco horas, os anхezinhos voltaram do trabalho. Mas algo nao estava bem… Os sete anхezinhos tinham um estranho brilho no olhar…

На испанском:

Тема:
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*

Тело сообщения:

sorpresa para su fiesta de compleaсos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos…

Червь также содержит компонент, который 24 сентября 1 минуту в час в любой день 2001 года выводит в центре экрана большую анимационную картинку, изображающую спираль, от которой очень трудно избавиться.

картинка червя

Кроме этого червь содержит компонент, который применяет простое полиморфное шифрование своей копии, прежде чем отправить ее по e-mail, тем самым пытаясь полностью изменить свой внешний вид непредсказуемым образом.

Подробнее о методах «обновления» червя см. здесь.

W32/Hybris-C: новая модификация интернет-червя появилась в «диком виде»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике