Ботнет-вирус Necurs упростил свою систему заражения
Новости
Necurs приходит в виде письма на электронную почту и маскируется по системный файл Windows. Заражение происходит через запуск скрипта, который открывает хакерам удаленный доступ к системе и файлам.
690 открытий692 показов
Последнее обновление в работе ботнета Necurs существенно упростило механизм заражения компьютеров. Теперь вместо нескольких архивов, содержащих расширения WSF, JS или скрипты Visual Basic, вирусу достаточно лишь одного, включающего в себя только URL-файл.
Принцип действия
По электронной почте пользователь получает архив, содержащий замаскированный под стандартный ярлык Windows файл. При его открытии активируется расширение, которое запускает скрипт в браузере, заражающий компьютер трояном Quant Loader. Он открывает привилегированный удаленный доступ, позволяет конфигурировать полезную нагрузку в системе и скачивать исполняемые файлы EXE и DLL.
Безопасность
Упрощенный сценарий позволяет письму с потенциальной угрозой обходить антивирусные сканеры электронной почты, поэтому пользователям пока придется самим принимать решение по поводу запуска скриптов. Основное отличие вредоносного файла — наличие стрелки внизу, как на изображении:
Напомним, что в марте 2018 года около 5 миллионов Android-устройств стали жертвами другого вируса. О ботнете RottenSys можно прочитать в нашем материале.
690 открытий692 показов