У трояна Poweliks появился преемник

29 сентября 2015

Антивирусная защита в АлматыВредонос Kovter использует аналогичную тактику для усложнения обнаружения и такой же механизм устойчивости.

У вносящей изменения в системный реестр троянской программы Poweliks, обнаруженной в 2014 году, появился преемник в лице нового варианта вредоноса Kovter, который использует аналогичную тактику для усложнения обнаружения и механизм устойчивости, позволяющий оставаться на зараженном компьютере после перезапуска системы.

Так же, как и Poweliks, Kovter (версия 2.3.0 и выше) не создает никаких файлов и существует в виде записи в реестре. Инфицирование может происходить по двум сценариям. В первом троян проверяет наличие в системе прошивки PowerShell. Если таковая на компьютере отсутствует и есть доступ в интернет, вредонос загружает версию прошивки. При отсутствии интернет-подключения Kovter использует второй сценарий и функционирует как более традиционное вредоносное ПО.

В случае «безфайлового» инфицирования вредонос добавляет значения к одному или нескольким ключам реестра и, используя легитимную программу MSHTA, выполняет код JavaScript, который, в свою очередь, запускает код JavaScript из другой ветки системного реестра Kovter. Этот второй код расшифровывает и исполняет содержащийся в нем вредоносный скрипт PowerShell. Далее скрипт исполняет шелл-код (код запуска оболочки), который расшифровывает и загружает в память основной модуль Kovter.

По аналогии с большинством троянов Kovter распространяется посредством вредоносных рекламных кампаний, нацеленных на новостные ресурсы и сайты с контентом «для взрослых». По данным экспертов компании Symantec, для распространения вредоноса атакующие использовали наборы эксплоитов Fiesta, Angler, Nuclear, Neutrino и Sweet Orange. В последнее время Kovter наряду с другими троянами использовался в спам-кампаниях. На данный момент нет данных, позволяющих предположить, что атаки направлены на какие-либо определенные регионы. Пока в числе наиболее пострадавших стран оказались США, Великобритания, Канада, Германия, Австралия и Япония.


Источник: securitylab.ru

Антивирусная защита в Алматы