Крупнейший в мире спам-ботнет Necurs изменил тактику распространения вредоносных программ и научился обходить сканеры вредоносного ПО
Крупнейшая в мире спам-сеть Necurs научилась обходить сканеры вредоносного ПО
Новая методика сама по себе не представляет собой ничего особенно оригинального: многие хакерские группировки использовали ее прежде. Но не Necurs - характерной особенностью этого ботнета всегда были замысловатые, многоступенчатые схемы заражения. Теперь же все куда проще: злоумышленники распространяют со спамерскими сообщениями ZIP-архивы, внутри которых скрывается файл с расширением .URL. Такой файл автоматически открывает вписанную в него гиперссылку в браузере, заданном по умолчанию.
Файлы .URL могут снабжаться произвольной иконкой, и в данном случае используются стандартные графические изображения папок Windows - для дополнительной маскировки. Впрочем, такая маскировка не особенно эффективна, поскольку помимо изображения папки на иконке присутствует еще и стрелка (индикатор ссылки).
Ссылка внутри файла ведет на удаленный скрипт, который скачивает и запускает основную вредоносную «начинку» - загрузчик Quant Loader, который сам по себе никакого вреда не причиняет, но способен втихаря скачивать и устанавливать другие, действительно опасные программы.
До самого последнего времени Necurs использовал различные схемы заражений, в основном многоступенчатые. Во вложениях распространялись архивы (иногда двойные) с файлами WSF, JS, VBS, документами Microsoft Office с вредоносными макросами или эксплойтами к известным уязвимостям, и так далее.
Все эти меры злоумышленники применяли для того, чтобы максимально затруднить обнаружение автоматическими средствами - в первую очередь, антивирусными сканерами электронной почты.
Единственный гарантированный способ защититься для конечных пользователей, это не открывать заархивированные вложения, поступающие из непроверенных источников, и никогда не открывать .URL-файлы из вложений».