IT обозрение


Новости интернета и компьютерных технологий

Украинцы массово получают опасные письма с вирусом для майнинга криптовалюты

26 февраля
09:57 2018

Команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) Госспецсвязи обнаружила факт распространения вредоносного программного обеспечения Smokeloader, которое скачивало на компьютеры жертв программу для майнинга криптовалюты Monero.

Об этом сообщает InternetUA со ссылкой на пресс-службу CERT-UA.

Как это работает

Как удалось высянить, распространение Smokeloader происходит через рассылку почтовых сообщений со злокачественным Javascript-ом. Вот пример подобного письма:

buroperevodov.png (15 KB)

Содержимое архива с вредоносным Javascript:

vradonosniyjava.png (43 KB)

В самом Javascript вредоносный код зашифрован в виде Base64. Он скачивает с сайта hXXp: //enterwords.ru/uadoc/crsse.exe файл crsse.exe и сохраняет его в директории C: tmp 1964.exe. Такое название файла выбрано намеренно, чтобы пользователь мог спутать его с процессом csrss.exe (Client / Server Runtime Subsystem).

Crsse.exe – это вредоносное программное обеспечение обеспечения типа Smokeloader. Для предотвращения его анализа он имеет техники сокрытия и анти-анализа. В crsse.exe есть множество ненужных функций, которые мешают анализу.

Среди них в crsse.exe выделяется память и записывается туда тело вируса, куда переходит выполнения, но без заголовка, чтобы нельзя было его динамично проанализировать.

Переход выполнения в другую область памяти:

drugayaoblast.png (91 KB)

Далее Smokeloader запускает поток, проверяющий на наличие запущенных программ, которые используются для анализа вредоносного кода. Если они присутствуют, он закрывает их. Также, в регистре (System \ CurrentControlSet \ Services \ Disk \ Enum) проверяет, запущенна ли данная система в виртуальной среде и если да, то программа переходит к бесконечному циклу сна.

После этого запускается и инфицируется, вредоносным кодом, процесс explorer.exe. Он скачивает с hXXp: //parodadoca.ru/panel/mr/curl.exe файл curl.exe, который является программой для майнинга криптовалюты Monero. Файл сохраняется в директории C: Users имя пользователя AppData Roaming MicroMon curl.exe.

Как уберечься

Дабы уберечься от опасного вируса, в CERT-UA рекомендуют:

– Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).

– Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового веб-трафика.

– Проверить наличие полученных сообщений клиентов почтового сервера, для определения потенциально пораженных пользователей.

– Проверить наличие переходов по ссылкам, которые содержали вредоносные файлы, для определения потенциально пораженных пользователей.

– Провести мероприятия по выявлению и удалению ВПО.

Обновить антивирусную базу и просканировать потенциально зараженные системы.


Статьи по теме

0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Последние новости

    Роглайк Risk of Rain 2 задержится в раннем доступе до августа, зато финальная версия будет ещё лучше

14:01 Роглайк Risk of Rain 2 задержится в раннем доступе до августа, зато финальная версия будет ещё лучше

0 комментариев Читать всю статью

Переводчик текста

с  на


Система - точный переводчик текста