Файловый вирус с генератором доменов

Александр Панасенко 11 Октября 2010 - 17:50

...

В дикой природе обнаружен резидентный файловый вирус, снабженный генератором доменных имен для загрузки и исполнения вредоносных ехе-файлов из интернета. PE_LICAT, или Murofet (ЛК детектирует его как Virus.Win32.Murofet), является приложением Windows и инфицирует ре-файлы во время их запуска, внедряя свой код между первой и второй секциями файла. Основная подпрограмма заражения прописывается в адресном пространстве процесса explorer.exe и пытается связаться с рядом серверов, размещенных в зоне .biz, .com, .info, .org или .net.

Список из 800 ссылок формируется по специальному алгоритму, который вычисляет псевдослучайные значения в зависимости от текущего времени и даты в системе-жертве. Все сгенерированные URL имеют вид http://<имя домена>/forum/. Файлы, загружаемые с актуальных адресов, сохраняются во временном каталоге текущего пользователя и перед исполнением подвергаются верификации.

В Trend Micro исследовали сэмпл PE_LICAT и обнаружили, что большинство доменных имен, которые он сгенерировал, пока еще не зарегистрированы. Некоторые из доменов, оказавшихся активными, ассоциированы с инфраструкторой ZeuS. Содержимое ехе-файлов, которые вирус пытался загрузить, удалось определить как вредоносную программу, родственную ZeuS и наделенную функционалом даунлоудера. Образец даунлоудера, который анализируют вирусологи из Trend Micro, загружает одну из копий PE_LICAT.

Новый вирус не имеет фискированных размеров, не зашифрован, не обладает деструктивным функционалом и ориентирован на платформы Windows 2000, XP, Server 2003. Зараженные ре-файлы не способны передавать инфекцию. Ареал обитания PE_LICAT невелик и, по данным Trend Micro, пока ограничивается Северной Америкой и Европой, с незначительным присутствием в Латинской Америке. Страной происхождения вируса предположительно является Италия.

Источник

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 02 Апреля 2026 - 10:36

Соответствие законодательству РФ Домашние пользователи Государство Персональный VPN Анонимайзеры

МВД опровергло сообщения о проверке телефонов на наличие VPN

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) опровергло информацию о том, что сотрудники полиции проводят осмотры личных смартфонов граждан на предмет наличия VPN-приложений.

Официальное опровержение опубликовано в телеграм-канале профильного подразделения МВД «Вестник киберполиции России»:

«Указанная информация не соответствует действительности и транслируется с целью повышения социальной напряжённости. Подобные мероприятия не проводятся, проверка телефонов граждан на предмет наличия VPN или иных приложений не осуществляется».

Такие сообщения распространялись через мессенджеры и социальные сети в течение последнего месяца. В ряде регионов также публиковались «памятки», якобы предназначенные для сотрудников полиции. В них говорилось о проверках устройств на наличие «запрещённых приложений» и контактов с иностранными гражданами. В частности, подобная кампания была развёрнута в Брянской области.

Как напомнили в УБК МВД, само по себе использование VPN не является нарушением действующего законодательства. При этом в ведомстве отметили, что распространение информации о способах обхода блокировок уже может квалифицироваться как административное правонарушение. Кроме того, многие VPN-сервисы, особенно бесплатные, могут быть небезопасны. Это подтверждают и независимые исследования.

Сообщения о якобы проводимых российскими полицейскими проверках телефонов регулярно появляются с 2018 года, однако ни одно из них до сих пор не подтвердилось.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!