Новый Windows-зловред Beep очень старается избежать обнаружения

Новый Windows-зловред Beep очень старается избежать обнаружения

Новый Windows-зловред Beep очень старается избежать обнаружения

Проведенный в Minerva Labs анализ одного из семплов, загруженных на VirusTotal, показал, что вредонос до зубов вооружен средствами противодействия анализу. Новобранец также умеет загружать и исполнять дополнительные файлы.

Исследователей поразило количество техник, позволяющих определить запуск в песочнице, виртуальной машине или из-под отладчика: их оказалось полтора десятка. Реализации проверок на наличие антивирусов в коде не обнаружено.

Вредонос также проверяет дефолтный язык системы, используя Windows-функцию GetUserDefaultLangID (winnls.h). Если это русский, украинский, белорусский, таджикский, словенский, грузинский, казахский или узбекский (кириллица), исполнение откатывается.

Больше всего экспертов заинтересовало использование API-функции Beep (utilapiset.h) для задержки исполнения: с этой целью зловреды обычно используют Sleep API. Характерное отличие подсказало кодовое имя для новой угрозы — в Minerva ее нарекли Beep.

Вредоносная программа состоит из трех компонентов:

  • дроппер (big.dll, детектируют 55 из 70 антивирусов VirusTotal, результат на 15 февраля);
  • инжектор (AphroniaHaimavati.dll, 48 из 70);
  • полезная нагрузка.

Первый отвечает за создание нового ключа реестра и исполнение PowerShell-загрузчика. Сценарий при этом запускается каждые 13 минут (для этого в Windows создается новое запланированное задание), чтобы получить с удаленного сервера инжектор.

Этот модуль сначала проверяет окружение. Не найдя признаков враждебной среды, он извлекает и запускает полезную нагрузку, внедряя ее в легитимный процесс WWAHost.exe по методу process hollowing.

 

Пейлоад-компонент собирает и сливает на сторону системные данные. По команде с C2-сервера (расположен в США, адрес вшит в код) он может составить список запущенных процессов, собрать дополнительную информацию, запустить исполнение шелл-кода, DLL или файла EXE.

Список команд Beep включает 10 наименований, однако некоторые из них не реализованы. Исследователи пришли к выводу, что зловред находится на ранней стадии разработки.

Телега начала возвращать деньги за подписку «Телега Плюс»

История с альтернативным телеграм-клиентом Телега получила продолжение. После объявления о прекращении работы команда проекта сообщила, что уже начала автоматически возвращать пользователям деньги за подписку «Телега Плюс».

Возвраты стартовали сразу после решения о закрытии сервиса. В компании подчеркивают: никаких заявлений подавать не нужно.

Деньги вернут автоматически, а пользователям отправят электронные чеки. Весь процесс может занять до недели.

Если подписка была оформлена после 27 мая 2026 года, стоимость компенсируют полностью. Тем, кто купил трехмесячный тариф раньше этой даты, вернут сумму за неиспользованный период.

Разработчики отдельно предупредили о возможных мошенниках. По их словам, команда не рассылает сообщения, не просит сообщить коды подтверждения и не отправляет ссылки для оформления возврата.

Напомним, о закрытии Телега стало известно 26 июня. Проект официально прекратит работу с 1 июля 2026 года. В качестве причин разработчики назвали невозможность обеспечить полное соответствие действующим требованиям для телеграм-клиентов, а также внешние ограничения, включая удаление приложения из App Store.

Любопытно, что еще совсем недавно ситуация выглядела прямо противоположной. В мае команда запустила подписку «Телега Плюс» стоимостью 99 рублей в месяц (или 1 рубль в первый месяц для новых пользователей), объяснив это резким ростом аудитории и необходимостью расширять серверные мощности.

Подписчикам обещали приоритетный доступ к сервису во время высокой нагрузки, подчеркивая, что речь идет не об аналоге Telegram Premium, а о механизме стабильного подключения.

Более того, из-за наплыва пользователей разработчикам даже пришлось временно ограничить регистрацию новых аккаунтов.

Однако спустя чуть больше месяца проект фактически свернул работу. Теперь команда сосредоточилась на том, чтобы корректно завершить сервис и вернуть деньги пользователям, оформившим подписку.

RSS: Новости на портале Anti-Malware.ru