Поделиться
Крупнейшая в мире спам-сеть научилась обходить сканеры вредоносного ПО
Крупнейший в мире спам-ботнет Necurs упростил тактику распространения вредоносных программ, в результате чего получил способность обходить сканеры вредоносного ПО, реализованные на почтовых сервисах.Путем упрощений
Крупнейший в мире спам-ботнет Necurs изменил тактику распространения вредоносных программ. Новая методика позволит обходить сканеры вредоносного ПО, реализованные на почтовых сервисах. По крайней мере, в течение какого-то времени.
Новая методика сама по себе не представляет собой ничего особенно оригинального: многие хакерские группировки использовали ее прежде. Но не Necurs - характерной особенностью этого ботнета всегда были замысловатые, многоступенчатые схемы заражения. Теперь же все куда проще: злоумышленники распространяют со спамерскими сообщениями ZIP-архивы, внутри которых скрывается файл с расширением .URL. Такой файл автоматически открывает вписанную в него гиперссылку в браузере, заданном по умолчанию.
Файлы .URL могут снабжаться произвольной иконкой, и в данном случае используются стандартные графические изображения папок Windows - для дополнительной маскировки. Впрочем, такая маскировка не особенно эффективна, поскольку помимо изображения папки на иконке присутствует еще и стрелка (индикатор ссылки).
Если такое изображение встречается в почтовых вложениях, это со 100% гарантией вредоносная программа.
Ссылка внутри файла ведет на удаленный скрипт, который скачивает и запускает основную вредоносную «начинку» - загрузчик Quant Loader, который сам по себе никакого вреда не причиняет, но способен втихаря скачивать и устанавливать другие, действительно опасные программы.
Обойти сканеры
До самого последнего времени Necurs использовал различные схемы заражений, в основном многоступенчатые. Во вложениях распространялись архивы (иногда двойные) с файлами WSF, JS, VBS, документами Microsoft Office с вредоносными макросами или эксплойтами к известным уязвимостям, и так далее.
Все эти меры злоумышленники применяли для того, чтобы максимально затруднить обнаружение автоматическими средствами - в первую очередь, антивирусными сканерами электронной почты.
«Такие сканеры в большинстве случаев используют политики - наборы правил, - сформированные специалистами по безопасности и системными администраторами вручную, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - В этом смысле, смена формата распространения вредоносных программ - это игра в кошки-мышки: политики безопасности обновятся, и через несколько дней «новый» метод заражения через .URL-файлы перестанет работать. Однако достаточно будет малозначительных изменений, и политики придется донастраивать снова. А пока политики не работают, могут происходить новые заражения.
Единственный гарантированный способ защититься для конечных пользователей, это не открывать заархивированные вложения, поступающие из непроверенных источников, и никогда не открывать .URL-файлы из вложений».
Поделиться
Короткая ссылка
