Новый Windows-зловред Beep очень старается избежать обнаружения
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Новый Windows-зловред Beep очень старается избежать обнаружения

Татьяна Никитина 15 Февраля 2023 - 20:24
...
Новый Windows-зловред Beep очень старается избежать обнаружения

Проведенный в Minerva Labs анализ одного из семплов, загруженных на VirusTotal, показал, что вредонос до зубов вооружен средствами противодействия анализу. Новобранец также умеет загружать и исполнять дополнительные файлы.

Исследователей поразило количество техник, позволяющих определить запуск в песочнице, виртуальной машине или из-под отладчика: их оказалось полтора десятка. Реализации проверок на наличие антивирусов в коде не обнаружено.

Вредонос также проверяет дефолтный язык системы, используя Windows-функцию GetUserDefaultLangID (winnls.h). Если это русский, украинский, белорусский, таджикский, словенский, грузинский, казахский или узбекский (кириллица), исполнение откатывается.

Больше всего экспертов заинтересовало использование API-функции Beep (utilapiset.h) для задержки исполнения: с этой целью зловреды обычно используют Sleep API. Характерное отличие подсказало кодовое имя для новой угрозы — в Minerva ее нарекли Beep.

Вредоносная программа состоит из трех компонентов:

  • дроппер (big.dll, детектируют 55 из 70 антивирусов VirusTotal, результат на 15 февраля);
  • инжектор (AphroniaHaimavati.dll, 48 из 70);
  • полезная нагрузка.

Первый отвечает за создание нового ключа реестра и исполнение PowerShell-загрузчика. Сценарий при этом запускается каждые 13 минут (для этого в Windows создается новое запланированное задание), чтобы получить с удаленного сервера инжектор.

Этот модуль сначала проверяет окружение. Не найдя признаков враждебной среды, он извлекает и запускает полезную нагрузку, внедряя ее в легитимный процесс WWAHost.exe по методу process hollowing.

 

Пейлоад-компонент собирает и сливает на сторону системные данные. По команде с C2-сервера (расположен в США, адрес вшит в код) он может составить список запущенных процессов, собрать дополнительную информацию, запустить исполнение шелл-кода, DLL или файла EXE.

Список команд Beep включает 10 наименований, однако некоторые из них не реализованы. Исследователи пришли к выводу, что зловред находится на ранней стадии разработки.

Следующая главная новость »
AM LiveАтаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Онлайн-заседание правительства Курской области сорвала DDoS-атака
Яков Шпунт 20 Апреля 2026 - 16:34
Атаки на сайтыDDoS-атаки Государство
Онлайн-заседание правительства Курской области сорвала DDoS-атака

Прямую трансляцию заседания правительства Курской области сорвала DDoS-атака на серверы администрации. Об этом сообщило само региональное правительство. При этом заседание всё же удалось показать в прямом эфире: трансляция была доступна на официальной странице во VK. Полную запись пообещали опубликовать позднее.

«В связи с DDoS-атакой на серверы администрации Курской области прямая трансляция заседания правительства региона невозможна. Запись заседания будет опубликована позднее на официальных ресурсах губернатора и правительства Курской области», – приводит РИА Новости выдержку из официального сообщения областной администрации, опубликованного утром.

Позднее, как уточнило правительство Курской области, целью атаки стал канал связи одного из магистральных операторов. После переключения на резервный канал работа ресурсов областного правительства была восстановлена.

В 2026 году Россия столкнулась с волной DDoS-атак с использованием беспрецедентного количества IP-адресов. Причём речь шла об атаках прикладного уровня L7, нацеленных не просто на то, чтобы «залить» сервисы мусорным трафиком, а на гарантированный вывод приложений из строя.

AM LiveАтаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!
Дипфейки невозможно распознать без специальных технических средств
Новость
Дипфейки невозможно распознать без специальных технических с...
HeartlessSoul: новый троян управляется через блокчейн Solana
Новость
HeartlessSoul: новый троян управляется через блокчейн Solana
Новый Android-троян Perseus начал искать пароли и сид-фразы в заметках
Новость
Новый Android-троян Perseus начал искать пароли и сид-фразы...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.