- Dołączył
- 26 Maj 2015
- Posty
- 19209
- Reakcje/Polubienia
- 55906
źródła:Sytuacje takie jak ta należą do wyjątków. Na palcach jednej ręki możemy policzyć wyrafinowane szkodliwe oprogramowanie napisane w innym języku niż Java, infekujące Windowsa oraz Linuxa.
WellMess to wirus opracowany w językach Go (Golang) i .NET Framework. Dwie znalezione próbki wskazują na wykorzystywanie malware w atakach na organizacje w tym samym kraju (w Japonii). WellMess posiada dwie wersje: pliku wykonywalnego PE dla Windowsa oraz pliku ELF dla Linuksa. Jako że zawiera w sobie wiele wymaganych bibliotek dla obu systemów jest wirusem „uniwersalnym”. Jego dokładne możliwości zdradzają poniższe zaimplementowane funkcje:
W konkretnym ataku na organizacje w Japonii i po przeanalizowaniu próbki wirusa okazało się, że szkodliwe oprogramowanie komunikuje się z serwerem C&C za pomocą zaszyfrowanych żądań HTTP i wykonuje jedną z posiadanych funkcji na podstawie odebranego polecenia.
Zaloguj lub Zarejestruj się aby zobaczyć!
WellMess może być używany do pobierania bardziej wyrafinowanego szkodliwego oprogramowania, na co zwracają uwagę badacze, podając za konkretny przykład ransomware Cerber.
Oryginalna analiza znajduje sięZaloguj lub Zarejestruj się aby zobaczyć!w języku japońskim. Gdyby japoński sprawiał komuś „trochę” problemów, to zjadliwa przetłumaczona wersja przez Shusei Tomonagę dostępna jestZaloguj lub Zarejestruj się aby zobaczyć!.
Dodatkowe informacje o sumach kontrolnych wykrytych próbek wirusa WellMess:
Adresy IP serwerów C&C, z którymi komunikował się wirus:
- 0b8e6a11adaa3df120ec15846bb966d674724b6b92eae34d63b665e0698e0193 (Golang&ELF)
- bec1981e422c1e01c14511d384a33c9bcc66456c1274bbbac073da825a3f537d (Golang&PE)
- 2285a264ffab59ab5a1eb4e2b9bcab9baf26750b6c551ee3094af56a4442ac41 (.Net&PE)
- 45.123.190.168
- 103.13.240.46
- 101.201.53.27
- 185.217.92.171
- 93.113.45.101
- 191.101.180.78
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
,
Zaloguj
lub
Zarejestruj się
aby zobaczyć!