Dr.Web предупреждает о новой серьезной опасности

14 Апрель 2017

Специалисты компании Dr.Web обнаружили новую опасность и поспешили предупредить о ней людей. Им стало известно о том, что пользователям осуществляется рассылка странного спама. После детального изучения таких сообщений выяснилось, что в них содержится большое количество вредоносных модулей, которые позволяют злоумышленникам шпионить за своими жертвами и похищать личную информацию пользователей.

Спам рассылается людям на их электронную почту. Впрочем, на сегодняшний день это один из самых распространенных способов заражения персональных компьютеров опасными вирусами. Чаще всего текст сообщения составлен грамотно и иногда даже интригующее, ведь он должен побудить человека самостоятельно открыть вложенный файл или же перейти по предложенной ссылке. Это как раз и приводит в попаданию троянца на компьютер жертвы.

«Доктор Веб» предупреждает, что в последние несколько дней люди стали получать на свою электронную посту письма от некой компании, которая в письме обозначена как ООО «Глобальные Системы». Тема письма как раз указана очень интригующая. В соответствующей графе написано «Оплату произвели». В самом письме указано, что ООО «Глобальные Системы» осуществили перечисление денег пользователю, но по какой-то причине они к нему не дошли. В связи с этим компания просит проверить платежные реквизиты, указанные в прикрепленных документах. Конечно, любопытные пользователи обязательно откроют этот файл, чтобы проверить, какие денежные средства им хотят перечислить и за что, поэтому открывают вложенный файл. К письму прикреплен целый архив, который весит больше 4 Мб. При его открытии пользователь находит странный документ с расширением .jpg, но на самом деле за ним скрывается троян MulDrop7.24844, который уже внесен Dr.Web в свою вирусную базу. Как только пользователь совершит попытку открытия этого файла, вирус сразу же проникнет на его компьютер.

Сразу же после проникновения вредоносная программа проверяет, есть ли на ПК жертвы другие аналогичные зловреды. Если же она оказалась в единственном экземпляре, то она приступает к сохранению на диск целой библиотеки, которая должна помочь ей обойти систему защиты и контроля учетных записей, и еще несколько дополнительных файлов, которые необходимы для полноценного функционирования троянца. После этого запускается процесс регистрации вируса в автозагрузке. На Windows XP зловред делает это путем внесения соответствующих изменений в системный реестр, а во всех остальных версиях операционной системы регистрация происходит через планировщик задач. Кроме этого троянец пытается заполучить пароли пользователя, которые хранятся в браузерах Google Chrome и Mozilla Firefox. Для сохранения паролей создается специальный текстовый файл, который потом передается на удаленный сервер.

Зловред может также выполнять запуск кейлоггера, который всегда будет вести запись информации о нажатых пользователем клавишах. При этом в момент запуска вирус делает снимок экрана, чтобы не пропустить никакой важной информации.

После попадания на ПК жертвы, зловред предоставляет злоумышленникам удаленный доступ к персональному компьютеру. Делается это с помощью специальной программы Rdpwrap, запущенной в скрытом режиме, и утилиты Mimikatz, которая сохраняется сразу же после проникновения трояна на компьютер. С помощью этих инструментов мошенник получает пароль от учетной записи текущего пользователя, который хранится в системном реестре. Узнав пароль пользователя, злоумышленники могут получить полный контроль над компьютером жертвы.

Чтобы предотвратит заражение своего компьютера, компания советует не открывать странные и подозрительные письма и особенно вложения в них.