Архив новостей

Попробуй удали!

Исследователи компании Webroot обнаружили вредоносные спам-рассылки, нацеленные на распространение новой модификации ложного антивируса XP Defender. При попытке от него избавиться зловред инициирует аварийный отказ системы.

По свидетельству экспертов, вредоносный файл может быть замаскирован под новый пароль, якобы высланный службой техподдержки Facebook вложением в письмо. Он может также прикинуться архивированной копией квитанции на посылку, присланной от имени американской службы UPS. Содержимым зловредного файла является очередной вариант даунлоудера Tacticlol (в ЛК детектируется как Trojan.Win32.Sasfis.akzx).

Подвергнуть эту программу анализу непросто: она отказывается демонстрировать свой функционал в виртуальной среде. Tacticlol и загружает псевдо-антивирус, способный вызвать системный сбой в отместку за попытку его удалить. Один из компонентов XP Defender помогает ему заблокировать веб-браузеры, Outlook Express и другие интернет-ориентированные приложения. Он содержит также пакетный файл, который при запуске удаляет загрузчик ОС и все ключевые файлы каталога Windows.

Командный файл выполняется только при попытке удалить сам компонент. Исследователи отмечают, что его активацию могут спровоцировать даже сканы легального антивируса. Хотя иногда его все же удается благополучно удалить.

Аналогичным деструктивным функционалом обладают многие современные банковские троянцы, например, ZeuS. Однако для них «синий экран смерти» — скорее отвлекающий маневр, позволяющий злоумышленникам выиграть время для перекачки денег со счета жертвы.

Попробуй удали!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике