Ботнет-вирус Necurs упростил свою систему заражения

necurs

Последнее обновление в работе ботнета Necurs существенно упростило механизм заражения компьютеров. Теперь вместо нескольких архивов, содержащих расширения WSF, JS или скрипты Visual Basic, вирусу достаточно лишь одного, включающего в себя только URL-файл.

Принцип действия

По электронной почте пользователь получает архив, содержащий замаскированный под стандартный ярлык Windows файл. При его открытии активируется расширение, которое запускает скрипт в браузере, заражающий компьютер трояном Quant Loader. Он открывает привилегированный удаленный доступ, позволяет конфигурировать полезную нагрузку в системе и скачивать исполняемые файлы EXE и DLL.

Necurs

Безопасность

Упрощенный сценарий позволяет письму с потенциальной угрозой обходить антивирусные сканеры электронной почты, поэтому пользователям пока придется самим принимать решение по поводу запуска скриптов. Основное отличие вредоносного файла — наличие стрелки внизу, как на изображении: Necurs

Напомним, что в марте 2018 года около 5 миллионов Android-устройств стали жертвами другого вируса. О ботнете RottenSys можно прочитать в нашем материале.

Источник: BleepingComputer