+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Крупнейший в мире спам-ботнет Necurs изменил тактику распространения вредоносных программ и научился обходить сканеры вредоносного ПО

Крупнейшая в мире спам-сеть Necurs научилась обходить сканеры вредоносного ПО

Крупнейший в мире спам-ботнет Necurs упростил тактику распространения вредоносных программ, в результате чего получил способность обходить сканеры вредоносного ПО, реализованные на почтовых сервисах.

Новая методика сама по себе не представляет собой ничего особенно оригинального: многие хакерские группировки использовали ее прежде. Но не Necurs - характерной особенностью этого ботнета всегда были замысловатые, многоступенчатые схемы заражения. Теперь же все куда проще: злоумышленники распространяют со спамерскими сообщениями ZIP-архивы, внутри которых скрывается файл с расширением .URL. Такой файл автоматически открывает вписанную в него гиперссылку в браузере, заданном по умолчанию.

Файлы .URL могут снабжаться произвольной иконкой, и в данном случае используются стандартные графические изображения папок Windows - для дополнительной маскировки. Впрочем, такая маскировка не особенно эффективна, поскольку помимо изображения папки на иконке присутствует еще и стрелка (индикатор ссылки).

Ссылка внутри файла ведет на удаленный скрипт, который скачивает и запускает основную вредоносную «начинку» - загрузчик Quant Loader, который сам по себе никакого вреда не причиняет, но способен втихаря скачивать и устанавливать другие, действительно опасные программы.

До самого последнего времени Necurs использовал различные схемы заражений, в основном многоступенчатые. Во вложениях распространялись архивы (иногда двойные) с файлами WSF, JS, VBS, документами Microsoft Office с вредоносными макросами или эксплойтами к известным уязвимостям, и так далее.

Все эти меры злоумышленники применяли для того, чтобы максимально затруднить обнаружение автоматическими средствами - в первую очередь, антивирусными сканерами электронной почты.

Единственный гарантированный способ защититься для конечных пользователей, это не открывать заархивированные вложения, поступающие из непроверенных источников, и никогда не открывать .URL-файлы из вложений».

 

 

 

Другие новости

Лучшая цена