Архив

W32/Roach — новый вирус-червь, рассылающий себя по E-mail

W32/Roach — зашифрованный полиморфный вирус-червь, распостраняющийся по электронной почте. Заражает .EXE-файлы.

Червь попадает на компьютер в письме электронной почты в виде присоединенного файла. Характеристики зараженного письма следующие:

Тема: FW: Guess what, you’re mine!
Тело:


You have been hit

This is the funny-attachment war! You have just been hit and by the rule book you can’t hit this person back. To be in the game you need to send this message to five of your friends, try to find some small and funny attachment to send along. If you don’t have time use the one you got hit by, go ahead hit someone!


Вложение: COOKIE.ZIP

Присоединенный архив «COOKIE.ZIP» содержит выполняемый файл «COOKIE.EXE» и тестовый файл с именем «FILE_ID.DIZ» и текстом:

FortuneCookie 32 — Version 1.0
* FREEWARE *

DESCRIPTION:
============

FortuneCookie 32 is a Windows 32 version of the classical
fortune cookies you can get at some restaurants. It’s very simple
double clicking on the cookie.exe file will bring up a fortune cookie.
This program is freeware so feel free to send out a word of
wisdom to your friends!

Программа COOKIE имеет иконку, изображающую медвежока Тедди:



При активизации вирус копирует себя в каталоги %WinDir%KERNEL32.dll и %WinDirSYSTEMKERNEL32.VLL. Затем червь модифицирует файл WININIT.INI, чтобы после перезапуска системы содержимое оригинального C:WINDOWSSYSTEMKERNEL32.DLL заменялось на содержимое созданного вирусом зараженного файла с именем «KERNEL32.VLL».

Инфицированный файл KERNEL32.DLL перехватывает функции:
CopyFileA, DeleteFileA, GetFileAttributesA, GetFileAttributesW, and MoveFileA.

Червь также сохраняет свою копию в файле MMSYS32.EXE в каталоге %WinDir%SYSTEM и создает в секции авто-запуска системного реестра ключ, что позволяет ему выполняться при каждом старте Windows:

HKLMSoftwareMicrosoftCurrentVersion
RunMMSYS=%WinDir%SYSTEMMMSYS32.EXE

После перезагрузки системы все .EXE-файлы, просмотренные пользователем инфицированного компьютера в Проводнике (Microsoft Explorer), будут заражены.
Помимо вышеперечисленного червь сохраняет свою архивную копию в %WinDir%SYSTEMCOOKIE.ATT для дальнейшего использования ее при рассылке по электронной почте.

W32/Roach — новый вирус-червь, рассылающий себя по E-mail

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике