Архив

Xalnaga: новый троянский конь может попастись на вашем компьютере

Trojan.Win32.Xalnaga — троянская программа, после запуска которой, Windows становится по большей части неуправляем: с рабочего стола зараженного компьютера исчезают все иконки, так что даже перегрузить машину стандартным способом становится невозможно. Троянец содержит строку-«copyright»:

Tyrant-28881 {T-28881} virus

Троянец модифицирует ключи системного реестра:

Key1:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop = 1

Key2:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon

NoRun = 1
NoFind = 1
NoClose = 1

Key3:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

DisableRegistryTools = 1

Key4:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

LegalNoticeCaption = <<< Xal Naga was here >>>
LegalNoticeText = The human era has come to an end, the new breed of humans will evolve right now !!! Behold and despair !!!

В результате происходит следующее:

  • все иконки удаляются с рабочего стола (key1)
  • удаляются пункты «Start»-меню: Run, Find, Shut Down (key2)
  • стандартный редактор системного реестра под WinNT становится неработоспособным (key3)
  • при загрузке компьютера отображается message box: (key4)

<<<Xal Naga was here>>>»>
</p>
<p>Из-за ошибки в коде троянец делает в системный реестр некорректную запись (Key3), вследствие этого данный ключ — Key3 не выполняется, а это дает возможность запустить Regedit и восстановить поврежденные ключи.</p>
<p>Для восстановления ключей системного реестра: необходимо установить их в ‘0’ или удалить.</p>
<p>Для запуска Regedit.exe: нужно выбрать в Explorer меню StartProgramsWindows, затем в нем выбрать файл Regedit.exe и запустить его.</p>
												</div>
											</div>
										</div>

										<div class=

Xalnaga: новый троянский конь может попастись на вашем компьютере

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике