Ця сторінка доступна рідною мовою. Перейти на українську

Вірус Pterodo повертається

21 листопада 2018, 17:38
3340
0
Реклама

Спеціалізований структурний підрозділ Державного центру кіберзахисту CERT-UA спільно зі Службою зовнішньої розвідки виявив нові модифікації шкідливого ПЗ типу Pterodo. Вірус збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери та очікує на подальші команди, що свідчить про можливу підготовку для проведення кібератак.

Основною відмінністю нової модифікації від попередніх є можливість передачі вірусу через флеш-накопичувачі та інші змінні носії інформації. Документи (.doc,.docx) , зображення (.jpg) та текстові файли (.txt) копіюються в приховану папку MacOS з назвами FILE<довільне число>.<розширення> (наприклад, FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу та виконання створеного шкідливого файлу usb.ini.

Тіло нового вірусу виконує ті ж функції, як у попередніх: надсилає інформацію про систему, самооновлюється та, за їх наявності, завантажує компоненти.

Крім того, дана версія активується лише на системах з локалізацією мов пострадянських держав: українська, білоруська, російська, вірменська, азербайджанська, узбецька, татарська та ін., що ускладнює аналіз вірусу популярними автоматичними системами аналізу шкідливого ПЗ.

В одній із версій вірусу відмінністю є відображення повідомлення при активації файлу, яке маскує запуск шкідливої програми. У ній для кожної враженої системи передбачена індивідуальна url-директорія з серійним номером накопичувача, на якому встановлена система, наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000» - серійний номер.Це свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної системи визначають, які нові додатки завантажувати та запускати.

У якості контрзаходів для видалення вірусу пропонується:

- просканувати систему антивірусом;

- перевірити певні директорії на наявність шкідливих файлів, які необхідно видалити;

- перевірити планувальник завдань на наявність вірусних записів - видалити їх.

Інформацію щодо назв шкідливих файлів, директорій, де вони можуть знаходитись та вірусних завдань у планувальнику можна знайти на сайті CERT-UA за посиланням.

Як ми писали раніше, словацька компанія ESET, що спеціалізується у сфері інформаційної безпеки, повідомила подробиці про наступника угруповання BlackEnergy. Група зловмисників, яка отримала назву GreyEnergy, націлена на шпигунство і розвідку і, цілком можливо, готується до майбутніх атак з метою кіберсаботажу.

Залиште коментар
Увійдіть, щоб залишити коментар
УВІЙТИ
Підпишіться на розсилку
Щопонеділка отримуйте weekly-digest про ключові події бізнесу
Схожі новини