Найбільший у світі спам-ботнет Necurs змінив тактику поширення шкідливих програм та навчився обходити сканери шкідливого ПЗ
Найбільша в світі спам-мережа Necurs навчилася обходити сканери шкідливого ПЗ
Нова методика сама по собі не є нічого особливо оригінального: багато хакерських угруповань використовували її раніше. Але не Necurs - характерною особливістю цього ботнету завжди були хитромудрі, багатоступінчасті схеми зараження. Тепер все куди простіше: зловмисники поширюють зі спамерськими повідомленнями ZIP-архіви, всередині яких ховається файл з розширенням .URL. Такий файл автоматично відкриває вписане гіперпосилання в браузері, заданому за замовчуванням.
Файли .URL можуть мати довільну іконку, і в даному випадку використовуються стандартні графічні зображення папок Windows для додаткового маскування. Втім, таке маскування не є особливо ефективним, оскільки крім зображення папки на іконці присутня ще й стрілка (індикатор посилання).
Посилання всередині файлу веде на віддалений скрипт, який завантажує і запускає основну шкідливу «начинку» - завантажувач Quant Loader, який сам по собі ніякої шкоди не завдає, але здатний нишком завантажувати та встановлювати інші, дійсно небезпечні програми.
До останнього часу Necurs використовував різні схеми заражень, переважно багатоступінчасті. У вкладеннях поширювалися архіви (іноді подвійні) з файлами WSF, JS, VBS, документами Microsoft Office зі шкідливими макросами або експлойтами до відомих уразливостей тощо.
Усі ці заходи зловмисники вживали для того, щоб максимально утруднити виявлення автоматичними засобами - насамперед антивірусними сканерами електронної пошти.
Єдиний гарантований спосіб захиститися для кінцевих користувачів, це не відкривати заархівовані вкладення, що надходять з неперевірених джерел, і ніколи не відкривати .URL-файли з вкладень».
