Ця сторінка також доступна для перегляду українською мовою

Перейти до української версії сайту

Вирус Pterodo возвращается

21 ноября 2018, 17:38
615
0
Реклама

Специализированное структурное подразделение Государственного центра киберзащиты CERT-UA совместно со Службой внешней разведки обнаружили новые модификации вредоносного ПО типа Pterodo. Вирус собирает данные о системе, регулярно отправляет их на командно-контрольные серверы и ожидает дальнейших команд, что свидетельствует о возможной подготовке для проведения кибератак.

Основным отличием новой модификации от предыдущих является возможность передачи вируса через флеш-накопители и другие съемные носители информации. Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число>. <Расширение> (например, FILE3462.docx), а на флеш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнение созданного вредоносного файла usb.ini.

Тело нового вируса выполняет те же функции, как у предыдущих: направляет информацию о системе, самообновляется и, при их наличии, загружает компоненты.

Кроме того, данная версия активируется только на системах с локализацией языков постсоветских государств: украинский, белорусский, русский, армянский, азербайджанский, узбекский, татарский и др., что затрудняет анализ вируса популярными автоматическими системами анализа вредоносного ПО.

В одной из версий вируса отличием является отображение сообщения при активации файла, которое маскирует запуск вредоносной программы. В ней для каждой пораженной системы предусмотрена индивидуальная URL-директория с серийным номером накопителя, на котором установлена система, например, bitsadmin.ddns[.]net/00000/setup.exe, где «00000» - серийный номер. Это свидетельствует о том, что злоумышленники анализируют полученную информацию об инфицированной системе и индивидуально для каждой системы определяют, какие новые приложения загружать и запускать.

В качестве контрмер для удаления вируса предлагается:

- просканировать систему антивирусом;

- проверить определенные директории на наличие вредоносных файлов, которые необходимо удалить;

- проверить планировщик задач на наличие вирусных записей - удалить их.

Информацию относительно названий вредоносных файлов, директорий, где они могут находиться и вирусных задач в планировщике можно найти на сайте CERT-UA по ссылке.

Как мы писали ранее, словацкая компания ESET, специализирующаяся в сфере информационной безопасности, сообщила подробности о преемнике группировки BlackEnergy. Группа злоумышленников, которая получила название GreyEnergy, нацеленная на шпионаж и разведку и, вполне возможно, готовится к предстоящим атакам с целью киберсаботажа.

Оставьте комментарий
Войдите, чтобы оставить комментарий
Войти
Подпишитесь на рассылку
Получайте по понедельникам weekly-digest о ключевых событиях бизнеса
Похожие новости