Команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) Госспецсвязи обнаружила факт распространения вредоносного программного обеспечения Smokeloader, которое скачивало на компьютеры жертв программу для майнинга криптовалюты Monero.
Об этом сообщает InternetUA со ссылкой на пресс-службу CERT-UA.
Как это работает
Как удалось высянить, распространение Smokeloader происходит через рассылку почтовых сообщений со злокачественным Javascript-ом. Вот пример подобного письма:
Содержимое архива с вредоносным Javascript:
В самом Javascript вредоносный код зашифрован в виде Base64. Он скачивает с сайта hXXp: //enterwords.ru/uadoc/crsse.exe файл crsse.exe и сохраняет его в директории C: tmp 1964.exe. Такое название файла выбрано намеренно, чтобы пользователь мог спутать его с процессом csrss.exe (Client / Server Runtime Subsystem).
Crsse.exe – это вредоносное программное обеспечение обеспечения типа Smokeloader. Для предотвращения его анализа он имеет техники сокрытия и анти-анализа. В crsse.exe есть множество ненужных функций, которые мешают анализу.
Среди них в crsse.exe выделяется память и записывается туда тело вируса, куда переходит выполнения, но без заголовка, чтобы нельзя было его динамично проанализировать.
Переход выполнения в другую область памяти:
Далее Smokeloader запускает поток, проверяющий на наличие запущенных программ, которые используются для анализа вредоносного кода. Если они присутствуют, он закрывает их. Также, в регистре (System \ CurrentControlSet \ Services \ Disk \ Enum) проверяет, запущенна ли данная система в виртуальной среде и если да, то программа переходит к бесконечному циклу сна.
После этого запускается и инфицируется, вредоносным кодом, процесс explorer.exe. Он скачивает с hXXp: //parodadoca.ru/panel/mr/curl.exe файл curl.exe, который является программой для майнинга криптовалюты Monero. Файл сохраняется в директории C: Users имя пользователя AppData Roaming MicroMon curl.exe.
Как уберечься
Дабы уберечься от опасного вируса, в CERT-UA рекомендуют:
– Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т.д., а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).
– Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового веб-трафика.
– Проверить наличие полученных сообщений клиентов почтового сервера, для определения потенциально пораженных пользователей.
– Проверить наличие переходов по ссылкам, которые содержали вредоносные файлы, для определения потенциально пораженных пользователей.
– Провести мероприятия по выявлению и удалению ВПО.
– Обновить антивирусную базу и просканировать потенциально зараженные системы.