Архив

Зловредный макро-вирус Chronic-A замечен в «диком виде»

WM97/Chronic-A — новый деструктивный макро-вирус для Word 97. Имеет сложный триггерный механизм, который при некоторых обстоятельствах может инициировать перезаписывание установок CMOS, а также порчу файлов в корневом и системном каталогах Windows.

Вирус ведет подсчет того, сколько раз он был запущен. Каждый 25 раз запуска вирусного кода (25, 50, 75, и.д.) злодей запускает свою специальнуюю программу, которая производит сложную серию проверок текущей даты.

Если значение дня текущей даты можно без остатка поделить на 5, то вирус предпринимает попытки изменить пароль используемого документа на значение, полученное из системы. Пароль будет в этом случае «1297307460».

Вирус заменяет первые 1020 байт в определенных файлах и добавляет в их конец «Karachi_y2k7». После данной процедуры файлы оказываются полностью неработоспособными. Вирус проделывает это только на машинах, работающих под Windows 95 или Windows 98. Файлы, на которые таким образом воздействует вирус:

«C:WINDOWSSOL.EXE»
«C:WINDOWSMSHEARTS.EXE»
«C:WINDOWSFREECELL.EXE»

Если значение дня текущей даты можно без остатка поделить на 3, то вирус портит следующие файлы:

«C:WINDOWSROUTE.EXE»
«C:WINDOWSPING.EXE»
«C:WINDOWSSYSTEMNETOS.DLL»
«C:WINDOWSSYSTEMNETDI.DLL»
«C:WINDOWSSYSTEMNETBIOS.DLL»
«C:WINDOWSSYSTEMNETAPI.DLL»
«C:WINDOWSSYSTEMNETAPI32.DLL»

Если значение дня текущей даты можно без остатка поделить на 3 и на 6, то вирус портит следующие файлы:

«C:WINDOWSSYSTEMNETCPL.CPL»
«C:WINDOWSSYSTEMINETCPL.CPL»
«C:WINDOWSSYSTEMMODEM.CPL»
«C:WINDOWSSYSTEMURL.DLL»
«C:WINDOWSSYSTEMSENDMAIL.DLL»
«C:WINDOWSSYSTEMMAPI32.DLL»
«C:WINDOWSSYSTEMINETCOMM.DLL»
«C:WINDOWSSYSTEMINETCFG.DLL»
«C:WINDOWSSYSTEMINETAB32.DLL»
«C:WINDOWSSYSTEMINET16.DLL»

Если значение дня текущей даты можно без остатка поделить на 3, на 6 и на 9, то вирус портит следующие файлы:

«C:WINDOWSSYSTEMLPT.VXD»
«C:WINDOWSSYSTEMSPOOL32.EXE»
«C:WINDOWSSYSTEMMSPRINT.DLL»
«C:WINDOWSSYSTEMMSPRINT2.DLL»

Если значение дня текущей даты можно без остатка поделить на 2, то вирус предпринимает попытки напечатать до 9-ти копий текущего документа.

Если значение дня текущей даты можно без остатка поделить на 4, то вирус модифицирует «C:WINDOWSWIN.COM», внедряя в него троянского коня Troj/KillCMOS-E. Этот троянец перезаписывает установки CMOS на зараженной машине случайными данными, что происходит при следующем перезапуске Windows.

Если значение дня текущей даты можно без остатка поделить на 6, то вирус копирует файл «C:WINDOWSWIN.COM» в «WIN.ORG» и затем создает новый «C:WINDOWSWIN.COM», который содержит троянского коня Troj/KillCMOS-E.

Зловредный макро-вирус Chronic-A замечен в «диком виде»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике