Спам и фишинг

Трояны-загрузчики с расширением .scr

Большинство вредоносных файлов, распространяемых в почтовом спаме, являются исполняемыми и имеют расширение .exe. Но есть интересные исключения: в июле мы обнаружили несколько поддельных уведомлений от имени различных компаний, содержащих вредоносные файлы с расширением .scr. Обычно к файлам с таким расширением относятся экранные заставки и скринсейверы Windows.

В поддельном письме от имени британского банка Natwest получателя просят заполнить банковскую форму для предоставления получателю кредитной линии. На самом деле, в  прикрепленном к письму архиве находился файл  BanklineForm.scr, который детектируется «Лабораторией Касперского» как Trojan.Win32.Bublik. Зловреды этого семейства используются для скачивания и запуска различных вредоносных программ. В данном случае зловред закачивал банковского троянца Trojan-Spy.Win32.Zbot.sjzi, который передавал своим злоумышленникам финансовую информацию с зараженного компьютера. Для усыпления бдительности потенциальной жертвы злоумышленники использовали ссылки на настоящий сайт банка, а в начале сообщения упоминали, что письмо было проверено и не содержит никаких угроз.

scr_1

Имя еще одной британской компании Virgin Media, предоставляющей услуги на рынке кабельной и мобильной телефонии, телевидения и широкополосного доступа в интернет, также использовалось злоумышленниками в преступных целях – распространения зараженного SCR-файла. На этот раз получателя пытались убедить в том, что совершенный им платеж не обработан,  и теперь для предотвращения остановки обслуживания необходимо обновить платежную информацию, заполнив прикрепленную к письму форму. В заархивированный файл с расширением .scr злоумышленники поместили троянскую программу семейства Trojan-Downloader.Win32.Discpy, которая, как и Bublik, предназначена для скачивания и запуска других вредоносных программ.

scr_2

Использование файлов с расширением .scr вместо .exe, скорее всего, связано с тем, что последние часто встречаются в спам-сообщениях. Пользователи уже знают, что в большинстве случаев за вложенными EXE-файлами скрывается вредоносное ПО. В то же время файлы с расширением .scr встречаются в почте значительно реже и не вызывают подозрения у получателей. Мы не рекомендуем открывать вложенные в спам-письма файлы независимо от их расширения. Или, по крайней мере, стоит проверить присланный файл антивирусом, дабы не стать жертвой преступников.

Трояны-загрузчики с расширением .scr

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Сергей

    vasyutinskiy_640x480.scrСбой браузера до завершения загрузки.
    http://forann.php-dev.net/qvey/ihvdfv.jpg

    Вот такую хрень и хроме и касперский 2013 заблокировали . Пришло в однокласниках от друга, странно может он взломан и…Хотелось бы пояснений

  2. салават

    Вот как это работает есть такие программы которые склеивают файлы в один например открываем эту прогу берём какой нибудь чистый файл например картинку или форму как указано выше и наш троян склеиваем его пороге и на выходе получаем файл с расширением .scr теперь когда жертва откроет этот файл запустятся сразу 2 файла картинка и троян. Тесть жертва увидит только картинку а троян установится скрытно. Как то так

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике