У трояна Poweliks появился преемник

У вносящей изменения в системный реестр троянской программы Poweliks, обнаруженной в 2014 году, появился преемник в лице нового варианта вредоноса Kovter, который использует аналогичную тактику для усложнения обнаружения и механизм устойчивости, позволяющий оставаться на зараженном компьютере после перезапуска системы.

Так же, как и Poweliks, Kovter (версия 2.3.0 и выше) не создает никаких файлов и существует в виде записи в реестре. Инфицирование может происходить по двум сценариям. В первом троян проверяет наличие в системе PowerShell. Если таковая на компьютере отсутствует и есть доступ в интернет, вредонос загружает ее. При отсутствии интернет-подключения Kovter использует второй сценарий и функционирует как более традиционное вредоносное ПО.

В случае «безфайлового» инфицирования вредонос добавляет значения к одному или нескольким ключам реестра и, используя легитимную программу MSHTA, выполняет код JavaScript, который, в свою очередь, запускает код JavaScript из другой ветки системного реестра Kovter. Этот второй код расшифровывает и исполняет содержащийся в нем вредоносный скрипт PowerShell. Далее скрипт исполняет шелл-код (код запуска оболочки), который расшифровывает и загружает в память основной модуль Kovter.

По аналогии с большинством троянов Kovter распространяется посредством вредоносных рекламных кампаний, нацеленных на новостные ресурсы и сайты с контентом «для взрослых». По данным экспертов компании Symantec, для распространения вредоноса атакующие использовали наборы эксплоитов Fiesta, Angler, Nuclear, Neutrino и Sweet Orange. В последнее время Kovter наряду с другими троянами использовался в спам-кампаниях.

На данный момент нет данных, позволяющих предположить, что атаки направлены на какие-либо определенные регионы. Пока в числе наиболее пострадавших стран оказались США, Великобритания, Канада, Германия, Австралия и Япония.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s