Архив

XTC — новый интернет-червь по совместительству является «троянским конем»

W32/XTC@MM (aka I-Worm.XTC) — опасный интернет червь, содержащий backdoor-компонент. Червь распространяется через интернет посредством электронной почты и попадает на компьютер в виде присоединенного к письму зашифрованного и сжатого выполняемого файла. Также червь может распространять себя по локальной сети через ресурсы, открытые для совместного использования.
Червь имеет способность эволюционировать, используя Internet Relay Chat и FTP-протокол для получения через интернет своих обновлений.

Письмо, содержащее червя имеет следующий вид:

От кого: support@avx.com

Тема сообщения: AVX update notification
Тело сообщения:

Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It’s small, it’s efficent, it’s secure and powerful. No special licence is needed, it’s freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.

Best regards,
AVX developement team.

Присоединенный файл: SERVICES.EXE

иконка червя

При открытии присоединенного файла, червь активизируется и начинает на инфицированной машине свою зловредную деятельность:

  • вначале проверяет наличие антивирусных программ. Если находит, то прерывает ее и выводит сообщение об ошибке;
  • создает файл SERVICES.EXE в корневой директории WINDOWS;
  • на машинах с Windows 9x/ME создает с системном реестре ключ для регистрации своего файла:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunXTCUpdate=C:WINDOWSSERVICES.EXE

  • ищет в HTML-файлах, содержащихся в «Temporary Internet Files», email-адреса и отправляет по ним письма со своими копиями;
  • изменяет заданную по умолчанию стартовую страницу в Internet Explorer
  • соединяется по интернет с Undernet IRC-сервером и подключается к каналам, через которые «хозяин» червя может контролировать компьютер «жертвы» и выполнять на нем следующие задачи:
    • инициировать DDoS-атаку («отказ в обслуживании»)
    • отправлять червя по определенному email-адресу
    • деинсталлировать червя
    • загружать выполняемые файлы и запускать их
    • запускать IRC-команды
    • извлекать необходимую информацию, например имя компьютера «жертвы»
    • изменять заданную по умолчанию стартовую страницу в Internet Explorer
    • создавать и удалять директории и файлы
    • запускать программы
  • Для дополнительной информации по «троянским коням» см. Backdoor.BO

    XTC — новый интернет-червь по совместительству является «троянским конем»

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике