Sophos выявил новый вирус

0

После запуска программа копирует саму себя в папку c:\windows\system32\ и пытается обратиться к testdomain.com, код прерывается командой ping -n 30 127.0.0.1. Новый вирус предназначен для целевых атак, в других лабораториях на него ссылаются как на фрагмент вредоносного кода Disttrack или Shamoon.

Troj/MDrop-ELD пытается установить связь с IP 10.1.252.19 (вероятно это внутренний IP адрес первой машины в целевой сети) через порты 1103 (xrl) и 1104 (adobeserver).

Он собирает данные о целевом ПК: пытается переписать число файлов в области профилей пользователей на диске, заменяет различные файлы .lnk, .bmp, .ini, .cab и пр. поврежденными JPG.

Кроме того, вирус пытается изменить MBR, вероятно для того, чтобы невозможно было выявить источник инфекции и предотвратить Data Recovery в системе.

Но к счастью для пользователей, все действия вируса некритичны – ПО не заменят критически важные файлы и инфицированный ПК можно вылечить, перезагрузив с командой fixmbr с любого загрузочного диска.

По материалам: "КО"

Поделиться.

Комментарии закрыты