Спеціалізований структурний підрозділ Державного центру кіберзахисту CERT-UA спільно зі Службою зовнішньої розвідки виявив нові модифікації шкідливого ПЗ типу Pterodo. Вірус збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери та очікує на подальші команди, що свідчить про можливу підготовку для проведення кібератак.
Основною відмінністю нової модифікації від попередніх є можливість передачі вірусу через флеш-накопичувачі та інші змінні носії інформації. Документи (.doc,.docx) , зображення (.jpg) та текстові файли (.txt) копіюються в приховану папку MacOS з назвами FILE<довільне число>.<розширення> (наприклад, FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу та виконання створеного шкідливого файлу usb.ini.
Тіло нового вірусу виконує ті ж функції, як у попередніх: надсилає інформацію про систему, самооновлюється та, за їх наявності, завантажує компоненти.
Крім того, дана версія активується лише на системах з локалізацією мов пострадянських держав: українська, білоруська, російська, вірменська, азербайджанська, узбецька, татарська та ін., що ускладнює аналіз вірусу популярними автоматичними системами аналізу шкідливого ПЗ.
В одній із версій вірусу відмінністю є відображення повідомлення при активації файлу, яке маскує запуск шкідливої програми. У ній для кожної враженої системи передбачена індивідуальна url-директорія з серійним номером накопичувача, на якому встановлена система, наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000» - серійний номер.Це свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної системи визначають, які нові додатки завантажувати та запускати.
У якості контрзаходів для видалення вірусу пропонується:
- просканувати систему антивірусом;
- перевірити певні директорії на наявність шкідливих файлів, які необхідно видалити;
- перевірити планувальник завдань на наявність вірусних записів - видалити їх.
Інформацію щодо назв шкідливих файлів, директорій, де вони можуть знаходитись та вірусних завдань у планувальнику можна знайти на сайті CERT-UA за посиланням.
Як ми писали раніше, словацька компанія ESET, що спеціалізується у сфері інформаційної безпеки, повідомила подробиці про наступника угруповання BlackEnergy. Група зловмисників, яка отримала назву GreyEnergy, націлена на шпигунство і розвідку і, цілком можливо, готується до майбутніх атак з метою кіберсаботажу.
