Архив

XTC — новый интернет-червь по совместительству является «троянским конем»

W32/XTC@MM (aka I-Worm.XTC) — опасный интернет червь, содержащий backdoor-компонент. Червь распространяется через интернет посредством электронной почты и попадает на компьютер в виде присоединенного к письму зашифрованного и сжатого выполняемого файла. Также червь может распространять себя по локальной сети через ресурсы, открытые для совместного использования.
Червь имеет способность эволюционировать, используя Internet Relay Chat и FTP-протокол для получения через интернет своих обновлений.

Письмо, содержащее червя имеет следующий вид:

От кого: support@avx.com

Тема сообщения: AVX update notification
Тело сообщения:

Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It’s small, it’s efficent, it’s secure and powerful. No special licence is needed, it’s freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.

Best regards,
AVX developement team.

Присоединенный файл: SERVICES.EXE

иконка червя

При открытии присоединенного файла, червь активизируется и начинает на инфицированной машине свою зловредную деятельность:

  • вначале проверяет наличие антивирусных программ. Если находит, то прерывает ее и выводит сообщение об ошибке;
  • создает файл SERVICES.EXE в корневой директории WINDOWS;
  • на машинах с Windows 9x/ME создает с системном реестре ключ для регистрации своего файла:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunXTCUpdate=C:WINDOWSSERVICES.EXE

  • ищет в HTML-файлах, содержащихся в «Temporary Internet Files», email-адреса и отправляет по ним письма со своими копиями;
  • изменяет заданную по умолчанию стартовую страницу в Internet Explorer
  • соединяется по интернет с Undernet IRC-сервером и подключается к каналам, через которые «хозяин» червя может контролировать компьютер «жертвы» и выполнять на нем следующие задачи:
    • инициировать DDoS-атаку («отказ в обслуживании»)
    • отправлять червя по определенному email-адресу
    • деинсталлировать червя
    • загружать выполняемые файлы и запускать их
    • запускать IRC-команды
    • извлекать необходимую информацию, например имя компьютера «жертвы»
    • изменять заданную по умолчанию стартовую страницу в Internet Explorer
    • создавать и удалять директории и файлы
    • запускать программы
  • Для дополнительной информации по «троянским коням» см. Backdoor.BO

    XTC — новый интернет-червь по совместительству является «троянским конем»

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    Таргетированная атака на промышленные предприятия и государственные учреждения

    Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

    ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

    ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

    Lazarus распространяет протрояненный DeFi-кошелек

    Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

    MoonBounce: скрытая угроза в UEFI

    В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике