Спам и фишинг

Трояны-загрузчики с расширением .scr

Большинство вредоносных файлов, распространяемых в почтовом спаме, являются исполняемыми и имеют расширение .exe. Но есть интересные исключения: в июле мы обнаружили несколько поддельных уведомлений от имени различных компаний, содержащих вредоносные файлы с расширением .scr. Обычно к файлам с таким расширением относятся экранные заставки и скринсейверы Windows.

В поддельном письме от имени британского банка Natwest получателя просят заполнить банковскую форму для предоставления получателю кредитной линии. На самом деле, в  прикрепленном к письму архиве находился файл  BanklineForm.scr, который детектируется «Лабораторией Касперского» как Trojan.Win32.Bublik. Зловреды этого семейства используются для скачивания и запуска различных вредоносных программ. В данном случае зловред закачивал банковского троянца Trojan-Spy.Win32.Zbot.sjzi, который передавал своим злоумышленникам финансовую информацию с зараженного компьютера. Для усыпления бдительности потенциальной жертвы злоумышленники использовали ссылки на настоящий сайт банка, а в начале сообщения упоминали, что письмо было проверено и не содержит никаких угроз.

scr_1

Имя еще одной британской компании Virgin Media, предоставляющей услуги на рынке кабельной и мобильной телефонии, телевидения и широкополосного доступа в интернет, также использовалось злоумышленниками в преступных целях – распространения зараженного SCR-файла. На этот раз получателя пытались убедить в том, что совершенный им платеж не обработан,  и теперь для предотвращения остановки обслуживания необходимо обновить платежную информацию, заполнив прикрепленную к письму форму. В заархивированный файл с расширением .scr злоумышленники поместили троянскую программу семейства Trojan-Downloader.Win32.Discpy, которая, как и Bublik, предназначена для скачивания и запуска других вредоносных программ.

scr_2

Использование файлов с расширением .scr вместо .exe, скорее всего, связано с тем, что последние часто встречаются в спам-сообщениях. Пользователи уже знают, что в большинстве случаев за вложенными EXE-файлами скрывается вредоносное ПО. В то же время файлы с расширением .scr встречаются в почте значительно реже и не вызывают подозрения у получателей. Мы не рекомендуем открывать вложенные в спам-письма файлы независимо от их расширения. Или, по крайней мере, стоит проверить присланный файл антивирусом, дабы не стать жертвой преступников.

Трояны-загрузчики с расширением .scr

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Сергей

    vasyutinskiy_640x480.scrСбой браузера до завершения загрузки.
    http://forann.php-dev.net/qvey/ihvdfv.jpg

    Вот такую хрень и хроме и касперский 2013 заблокировали . Пришло в однокласниках от друга, странно может он взломан и…Хотелось бы пояснений

  2. салават

    Вот как это работает есть такие программы которые склеивают файлы в один например открываем эту прогу берём какой нибудь чистый файл например картинку или форму как указано выше и наш троян склеиваем его пороге и на выходе получаем файл с расширением .scr теперь когда жертва откроет этот файл запустятся сразу 2 файла картинка и троян. Тесть жертва увидит только картинку а троян установится скрытно. Как то так

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике