Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла
Главная » Новости
Гибридные облака: как и зачем их строятДо 70% российских компаний уже используют гибридное облако: часть инфраструктуры остаётся on-prem, часть переносится в публичные облака. Это рабочая модель, которая ускоряет запуск сервисов, даёт гибкое масштабирование и поддержку AI-нагрузок при сохранении контроля над данными. 14 мая в 11:00 в эфире AM Live разберём, как работает гибрид, когда облака дают максимум выгоды, как выбрать провайдера и какие ошибки чаще всего допускают→ Зарегистрироваться
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Татьяна Никитина 08 Июня 2022 - 09:01
...
Спамеры раздают трояна SVCReady через шелл-код, скрытый в свойствах файла

Исследователи из HP зафиксировали спам-рассылки, нацеленные на засев троянского загрузчика, которому было присвоено кодовое имя SVCReady. Зловред примечателен тем, что его цепочка заражения включает шелл-код, спрятанный в свойствах вложенного файла.

Текущую вредоносную кампанию эксперты наблюдают с конца апреля. По их словам, новоявленный троян находится на раннем этапе разработки и в течение прошлого месяца обновлялся несколько раз.

Распространяемые в спаме документы Microsoft Office (преимущественно Word) содержат вредоносный VBA-макрос. Тестирование показало, что при активации он ведет себя необычно — вместо того, чтобы с помощью PowerShell или MSHTA загрузить с удаленного сервера следующий пейлоад, он запускает шелл-код, вставленный в свойства файла в виде NOP-инструкций.

 

С таким нововведением HP уже сталкивалась, но только раз — в ходе апрельской спам-кампании, нацеленной на распространение банкера Ursnif, он же Gozi, Rovnix и Papras.

Загрузка шелл-кода, выводящего на старт SVCReady, производится с учетом архитектуры атакуемой системы — 32 или 64 бит.

 

При выполнении этот фрагмент кода загружает DLL в папку %TEMP%, затем копирует туда же rundll32.exe из системного каталога Windows. Копия Rundll32 переименовывается и запускается на исполнение с DLL и именем функции в качестве аргументов.

Стартовавший с помощью Rundll32 вредонос работает как даунлоудер, способный обеспечить запуск загружаемых файлов. На настоящий момент он также умеет совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выходить на связь с центром управления (в ожидании команд сообщает свой статус каждые пять минут);
  • фиксировать наличие виртуального окружения;
  • уходить на полчаса в состояние сна;
  • выполнять шелл-команды;
  • делать скриншоты;
  • пересчитывать подключенные USB-устройства.

Чтобы обеспечить себе постоянное присутствие в системе, SVCReady создает запланированное задание. Из доставляемой с его помощью полезной нагрузки в HP зафиксировали только RedLine (26 апреля — по всей видимости, проба пера).

Следующая главная новость »
AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Media Creation Tool теперь скачивает Windows 11 с обновлением KB5089549
Екатерина Быстрова 15 Мая 2026 - 13:00
Windows Домашние пользователиКорпорации Microsoft
Media Creation Tool теперь скачивает Windows 11 с обновлением KB5089549

Microsoft обновила содержимое Media Creation Tool: теперь утилита загружает свежие образы Windows 11 25H2 и 24H2 с апрельским обновлением KB5089549. Тем, кто хочет по-взрослому собрать загрузочную флешку, теперь выдадут более актуальную систему.

KB5089549 вышло в рамках свежего набора патчей для Windows 11.

У большинства пользователей обновление, судя по сообщениям, ставится без особой драмы, хотя отдельные жалобы на проблемы с установкой и сетью всё же есть. Массовой катастрофы не наблюдается, но Windows без мелкого сюрприза — это уже почти не Windows.

Media Creation Tool остаётся официальной утилитой Microsoft для создания загрузочного ISO или USB-носителя. Она скачивает Windows напрямую с серверов компании, и сейчас для Windows 11 25H2 подтягивает сборку 26200.8457 с KB5089549.

Любопытно, что версия самой утилиты не изменилась и по-прежнему числится как 10.0.26100.7019. После выхода Windows 11 25H2 Media Creation Tool успела отличиться багами как на Windows 11, так и на Windows 10. Особенно иронично это выглядело на фоне окончания поддержки Windows 10, когда Microsoft активно подталкивала пользователей к переходу на Windows 11, а один из главных инструментов для апгрейда сам спотыкался на ровном месте.

Сейчас, по данным Deskmodder, в новой сборке MCT проблемы для Windows 11 исправлены. Ошибки, связанные с Windows 10, также поправили, хотя последнее ESU-обновление для этой системы через Media Creation Tool не распространяется.

Скачать Media Creation Tool можно с официального сайта Microsoft в разделе создания установочного носителя Windows 11 или Windows 10. На момент публикации образ также должен включать актуальное обновление Windows Defender.

AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!
Поддельные VPN в поисковой выдаче крадут учётные данные
Новость
Поддельные VPN в поисковой выдаче крадут учётные данные
Умные колонки могут стать инструментом слежки после взлома
Новость
Умные колонки могут стать инструментом слежки после взлома
После аварии на спутнике доступ к ТВ восстановили не везде
Новость
После аварии на спутнике доступ к ТВ восстановили не везде

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.