Специализированное структурное подразделение Государственного центра киберзащиты CERT-UA совместно со Службой внешней разведки обнаружили новые модификации вредоносного ПО типа Pterodo. Вирус собирает данные о системе, регулярно отправляет их на командно-контрольные серверы и ожидает дальнейших команд, что свидетельствует о возможной подготовке для проведения кибератак.
Основным отличием новой модификации от предыдущих является возможность передачи вируса через флеш-накопители и другие съемные носители информации. Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число>. <Расширение> (например, FILE3462.docx), а на флеш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнение созданного вредоносного файла usb.ini.
Тело нового вируса выполняет те же функции, как у предыдущих: направляет информацию о системе, самообновляется и, при их наличии, загружает компоненты.
Кроме того, данная версия активируется только на системах с локализацией языков постсоветских государств: украинский, белорусский, русский, армянский, азербайджанский, узбекский, татарский и др., что затрудняет анализ вируса популярными автоматическими системами анализа вредоносного ПО.
В одной из версий вируса отличием является отображение сообщения при активации файла, которое маскирует запуск вредоносной программы. В ней для каждой пораженной системы предусмотрена индивидуальная URL-директория с серийным номером накопителя, на котором установлена система, например, bitsadmin.ddns[.]net/00000/setup.exe, где «00000» - серийный номер. Это свидетельствует о том, что злоумышленники анализируют полученную информацию об инфицированной системе и индивидуально для каждой системы определяют, какие новые приложения загружать и запускать.
В качестве контрмер для удаления вируса предлагается:
- просканировать систему антивирусом;
- проверить определенные директории на наличие вредоносных файлов, которые необходимо удалить;
- проверить планировщик задач на наличие вирусных записей - удалить их.
Информацию относительно названий вредоносных файлов, директорий, где они могут находиться и вирусных задач в планировщике можно найти на сайте CERT-UA по ссылке.
Как мы писали ранее, словацкая компания ESET, специализирующаяся в сфере информационной безопасности, сообщила подробности о преемнике группировки BlackEnergy. Группа злоумышленников, которая получила название GreyEnergy, нацеленная на шпионаж и разведку и, вполне возможно, готовится к предстоящим атакам с целью киберсаботажа.
