Nemucod – стара тактика, нова заплаха

Next story

Добре познатият вирус Nemucod претърпя поредна метаморфоза. Предпочитанията на зловредния код вече са наклонени към създаването на задна вратичка, засичана от ESET като Win32/Kovter. Доскоро схемата на зараза включваше инфекция с криптовируси. Техниката отново гарантира приходи за кибер-престъпниците, но в този случай, регистрирайки кликове в уебсайтове.На пръв поглед далеч по-приемлив вариант от заключването на файловете? Всъщност е точно обратното и заплахата не бива да се пренебрегва. Ползвайки задната вратичка, кибер-престъпниците придобиват контрол до устройството. До момента заложените функционалности включват:

  • Сваляне и активиране на файла;
  • Събиране и изпращане на информация до командния сървър;
  • Запис на конфигурацията в Windows регистрите;
  • Контрол върху функцията за клик.

Освен с личните ти данни, кибер-престъпниците разполагат и с контрол върху устройството ти. Изпълняваните (без знанието ти) функции могат да се увеличават с всеки изминал ден, а последиците от тях могат да са изключително сериозни.Научи повече за Nemucod: Нов криптовирус завладя имейлите в БългарияДо момента поведението на троянеца индикира, че фокусът му е регистриране на възможно най-много кликове в уебсайтове. В един и същи момент може да има до 30 активни сесии на браузъра, които да изпълняват зададените действия. Kovter следи свободната памет и натовареността на процесора, като в зависимост от зададените команди, може да променя броя на тези сесии. По този начин не забавя допълнително устройството и прикрива присъствието си върху него. И, ако механизмът на действие е модифициран, то този на зараза се оказва достатъчно ефективен, за да не търпи промяна. Поне на този етап. Потребителят получава мейл с мнима фактура. Съдържанието обикновено е под формата на архив ZIP файл, така че потенциалната жертва да бъде заблудена. Подлъже ли се потребителят да отвори архива, ще открие, че в него има изпълним JavaScript файл. А, ако този JavaScript файл бъде активиран, устройството се заразява и започва да изпълнява командите на кибер-престъпника.JS/TrojanDownloader.Nemucod e сред топ заплахите в България за последните 30 дни. Той е отговорен за 1,49% от атаките в страната, показват данните на ESET Live Grid. За да се предпазиш от подобни неприятни изненади в мейла, може да предприемеш следните стъпки:

  • Предлага ли мейл клиентът или сървърът, който ползваш, възможност за филтриране на разширения на прикачени файлове? Ако е така, използвай възможността да блокираш .EXE, *.BAT, *.CMD, *.SCR и *.JS. изпълними файлове.
  • Разреши показването на разширенията на файловете в настройките на операционната си система. Така вероятността да те измамят и да активираш неправилен файл става доста по-малка (пр. “INVOICE.PDF.EXE” няма да се визуализира само като “INVOICE.PDF”).
  • Използвай доказано ефективно решение за информационна сигурност - ESET NOD32 Antivirus - с което да сканираш подозрителни съобщения в пощата си.