Архив

Worm.Shorm заражает компьютеры в локальной сети

Worm.Shorm — cетевой червь, заражающий компьютеры под управлением Windows. Распространятся по локальным и глобальным сетям. При распространении выбирает компьютер-жертву и, если диск на компьютере открыт на полный доступ, создает на нем свою копию в каталоге авто-запуска Windows.

Также «ворует» пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кешированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru.

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах авто-запуска системного реестра. Таким образом, червь запускается при каждом рестарте Windows.

Затем червь обращается к Web-странице по адресу
«http://krenx.newmail.ru/ip.txt» и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем.

Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом) червь
пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start MenuProgramsStartUpAVPMonitor.exe
Главное менюПрограммыАвтозагрузкаAVPMonitor.exe

Таким образом зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows.

Червь также может «апдейтить» себя с Web-сайта. Для этого он обращается к Internet-файлу «http://krenx.newmail.ru/win.exe», скачивает его и запускает на локальной машине.

Технические детали

Worm.Shorm заражает компьютеры в локальной сети

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике