Архив новостей

Попробуй удали!

Исследователи компании Webroot обнаружили вредоносные спам-рассылки, нацеленные на распространение новой модификации ложного антивируса XP Defender. При попытке от него избавиться зловред инициирует аварийный отказ системы.

По свидетельству экспертов, вредоносный файл может быть замаскирован под новый пароль, якобы высланный службой техподдержки Facebook вложением в письмо. Он может также прикинуться архивированной копией квитанции на посылку, присланной от имени американской службы UPS. Содержимым зловредного файла является очередной вариант даунлоудера Tacticlol (в ЛК детектируется как Trojan.Win32.Sasfis.akzx).

Подвергнуть эту программу анализу непросто: она отказывается демонстрировать свой функционал в виртуальной среде. Tacticlol и загружает псевдо-антивирус, способный вызвать системный сбой в отместку за попытку его удалить. Один из компонентов XP Defender помогает ему заблокировать веб-браузеры, Outlook Express и другие интернет-ориентированные приложения. Он содержит также пакетный файл, который при запуске удаляет загрузчик ОС и все ключевые файлы каталога Windows.

Командный файл выполняется только при попытке удалить сам компонент. Исследователи отмечают, что его активацию могут спровоцировать даже сканы легального антивируса. Хотя иногда его все же удается благополучно удалить.

Аналогичным деструктивным функционалом обладают многие современные банковские троянцы, например, ZeuS. Однако для них «синий экран смерти» — скорее отвлекающий маневр, позволяющий злоумышленникам выиграть время для перекачки денег со счета жертвы.

Попробуй удали!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике