Ботнет-вирус Necurs упростил свою систему заражения

Новости

Necurs приходит в виде письма на электронную почту и маскируется по системный файл Windows. Заражение происходит через запуск скрипта, который открывает хакерам удаленный доступ к системе и файлам.

690 открытий691 показов

Последнее обновление в работе ботнета Necurs существенно упростило механизм заражения компьютеров. Теперь вместо нескольких архивов, содержащих расширения WSF, JS или скрипты Visual Basic, вирусу достаточно лишь одного, включающего в себя только URL-файл.

Принцип действия

По электронной почте пользователь получает архив, содержащий замаскированный под стандартный ярлык Windows файл. При его открытии активируется расширение, которое запускает скрипт в браузере, заражающий компьютер трояном Quant Loader. Он открывает привилегированный удаленный доступ, позволяет конфигурировать полезную нагрузку в системе и скачивать исполняемые файлы EXE и DLL.

Ботнет-вирус Necurs упростил свою систему заражения 1

Безопасность

Упрощенный сценарий позволяет письму с потенциальной угрозой обходить антивирусные сканеры электронной почты, поэтому пользователям пока придется самим принимать решение по поводу запуска скриптов. Основное отличие вредоносного файла — наличие стрелки внизу, как на изображении:

Напомним, что в марте 2018 года около 5 миллионов Android-устройств стали жертвами другого вируса. О ботнете RottenSys можно прочитать в нашем материале.

Следите за новыми постами
Следите за новыми постами по любимым темам
690 открытий691 показов