Архив

Win32.Rainsong — новый опасный Windows-вирус

«Лаборатория Касперского» предупреждает компьютерных пользователей о новом опасном вирусе Win32.Rainsong.
Этот вирус является резидентным на время процесса полиморфным Windows-вирусом. Ищет
выполняемые файлы Windows (PE EXE) в каталоге Windows и заражает их. Затем
остается в памяти Windows как часть программы-носителя и при ее обращениях
к PE EXE-файлам заражает их.

При заражении файлов записываюся в их конец — увеличивают размер последней
секции файла, записывают в нее свой код и модифицируют необходимые поля
PE-заголовка.

Использует технологию «Entry Point Obscuring» (EPO) — при заражении не
меняет стартовый адрес программы (не устанавливает точку входа в файл на
свой код). Вместо этого сканирует тело файла, ищет команду CALL (вызов
процедуры) и заменяет ее на команду передачи управления на код вируса.
Таким образом вирус получает управление не непосредственно при запуске
зараженного файла, а только в том случае, если управление получает
исправленный вирусом код зараженного файла.

Вирус содержит ошибки и часто портит файлы при их заражении.

Проверяет имена файлов и не заражает некоторые антивирусы: AV*, AN*, DR*,
ID*, OD*, TB*, F-*.

6 апреля выдает окно сообщения:

ASIMOV Jan.2.1920 — Apr.6.1992

Также содержит текст:

< The Rain Song Coded By Bumblebee/29a >

Win32.Rainsong — новый опасный Windows-вирус

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике